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Securing AWS with Qualys 
本 書 に つい て 


本 書 に つい て 


Qualys クラ ウド プラ ッ ト フ ォ ー ム お よび クラ ウド の セキ ュ リ ティ スキ ャ ン へ よう こそ 。 本書 で は 、Qualys 
クラ ウド セキ ュ リ ティ プラ ッ ト フ ォ ー ム を 使用 し て 、 ク ラウ ド IT イン フラ スト ラク チャ を スキ ャ ン す る 
Qualys ソリ ソ ュ ーション に つい て 詳し く 説 明 し ます 。 


Qualys に つい て 


Qualys, Inc. (NASDAQ: QLYS) は 、 セ キュ リティ と コン プラ イア ンス を 目的 と する クラ ウド ソリ ュー ショ 
ン の パイ オニ ア で あり 、 リ ー デ ィング カン パニ ー で す 。Qualys の クラ ウド プラ ッ ト フ ォ ー ム お よび 統合 さ 
れ た アプ リケーション は 、 重 要 な セキ ュ リ ティ イン テリ ジェ ンス を オン デマ ンド で 提供 し 、 IT シス テム と 
Web アプ リケーション の 監査 、 コ ユン プラ イア ンス 、 お よび 保護 の 全 範 囲 を 自動 化す る こと に より 、 ビ ジネス 
に お ける セキ ュ リ ティ 業務 の 簡略 化 と コン プラ イア ンス の コス ト 削 減 を 支援 し ます 。 


1999 年 の 創立 以来 、Qualys は 、Accenture、BT、Cognizant Technology Solutions、Deutsche Telekom、 富 
士 通 、HCL、HP Enterprise、 IBM、Infosys、 NTT、OptiV、SecureWorks、Tata Communications、Verizon、 
Wipro な どの マネ ー ジ ドサ ービス プロ バイ ダ や コン サル ティ ング 企業 と の 戦略 的 パー トナ ー シ ッ プ を 構築 
し て きま し た 。Qualys は 、CSA (Cloud Security Alliance) の 創立 メン バー で も あり ます 。 詳 細 に つい て 
は 、www.qualys.com を ご 覧 くだ さい 。 


Du 


Qualys サポ ー ト 


Qualys は 綿 容 な サポ ー ト を 提供 し ます 。 不明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よび 
E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サポ ー 
ト を 提供 し ます 。 サ ポー ト 情 報 に つい て は 、www.qualys.com/support/ を ご 覧 くだ さい 。 


は じ め に 


Securing AWS with Qualys 
は じ め に 


Qualys クラ ウド プラ ッ ト フ ォ ー ム へ よう こそ 。Qualys クラ ウド プラ ッ ト フ ォ ー ム は 、 徒 来 の IT イン フラ 


スト ラク チャ に 加え 、 ク ラウ ド IT イン フラ スト ラク チャ の セキ ュ リ ティ を 確保 する た め の ソ リュ ーション 
を 実現 し ます 。 こ の ガイ ドド で は 、Qualys を 使用 し て Amazon AWS EC2 イン フラ スト ラク チャ の セキ ュ リ 
ティ を 確保 する 方 法 に つい て 説明 し ます 。 


Qualys の 統合 され た セキ ュ リ ティ プラ ッ ト フ ォ ー ム 


Qualys クラ ウド プラ ッ ト フ ォ ー ム を 使用 


する と 、 セ キュ リティ と コン プラ イア ンス を リア ル タ ム で 、 1 つの 


ビュ ー に まとめ る こと が で きま す 。 0 を 初め て 使用 され る お 客 様 は 、 当 社 の クラ ウド プラ ッ ト フ ォ ー 
ム に つい て より 詳し く 知 っ て いた だ く た め 


くだ さい 。 


CLOUD PLATFORM APPS 
Overview 

ASSET MANAGEMENT 
Asset Inventory 

CMDB Sync 

IT SECURITY 

Vuinerability Management 
Threat Protection 
Continuous Monitoring 
Indication of Compromise 
Container Security 

CLOUD SECURITY 

Cloud Inventory 


Cloud Security Assessment 


WEB APP SECURITY 


Web App Scanning 


Web App Firewall 


COMPLIANCE 


Policy Compliance 


Security Configuration 
Assessment 


PCI Compliance 


File Integrity Monitoring 


Security Assessment 
Questionnaire 


CERTIFICATE SECURITY 


Certificate Inventory 


Certificate Assessment 


に 、Qualys クラ ウド プラ ッ ト フ ォ ー ム の Web ペー ジ を 参照 し て 


Securing AWS with Qualys 
は じ め に 


Qualys の AWS サポ ー ト 
Qualys に よる AWS クラ ウド の サポ ー ト に は 、 以 下 の 機能 だ あり ます 。 


- EC2 イン スタ ンス (JaaS) を 脆弱 性 か ら 
保護 し 、OS と アプ リケーション (デー タ 
ベー ス 、 ミ ドル ウェ ア ) の コン プラ イア ン 
ス を 定期 的 に チェ ッ ク 


②③ 
- Cloud Agent を 使用 し て セキ ュ リ ティ を SO や OD.O 
継続 的 に 確保 し 、 こ れ を AMI に 埋め 込む © 


こと に より 完全 な 可視 化 を 達成 


- 外部 公開 され て いる IP お よび URL の 
脆弱 性 を 特定 @ 


- アプ リケーション スキ ャ ン と ファ イア 
ウォ ー ル の ソリ ュー ショ ン に より アプ リ 
ケー ショ ン の セキ ュ リ ティ を 保護 


- 事前 認証 済み 脆弱 性 スキ ャ ン 
- GovCloud を 含む AWS の すべ て の グロ ー バ ルリ ー ジ ョ ン を サポ ー ト 


- Classic お よび VPC プラ ッ ト フ ォ ー ム の EC2 イン スタ ンス を サポ ー ト 
- EC2 で の 動作 が 認定 され た Qualys Cloud Agent 


Securing AWS with Qualys 
は じ め に 


Qualys セン サ 

Qualys クラ ウド プラ ッ ト フ ォ ー ム の 中 核 的 な サー ビス で ある Qualys セン サ を 使用 する と 、 グロ ー バ ル な 企 
業 全体 に 対し て セキ ュ リ ティ を 容易 に 拡張 する こと が で きま す 。 セ ン サ は 、 リ モー ト か ら の 配置 と 一 元 管理 
が 可能 で あり 、 自 己 更新 機能 を 備え て いま す 。 セ ン サ に より 、 デ ー タ が 収集 され 、Qualys クラ ウド プラ ッ 
フォ ー ム に 自動 的 に 送信 され ます 。Qualys クラ ウド プラ ッ ト フ ォ ー ム に は 、 人 脅威 を 特定 し て 脆弱 性 を 除 
去 す る た め に 、 情 報 の 分 析 と 相関 付け を 継続 的 に 行 う 計算 処理 能力 が 備わっ て いま す 。 


Virtual Scanner Appliance 
ネッ トワ ー ク (ホス ト と アプ リケーション ) を 横断 する リモ ー ト スキ ャ ン 


アプ リケーション : VM/VMDR、PC、SCA、WAS 


ウ 


Cloud Agent 
継続 的 な セキ ュ リ ティ 表示 と 追加 の セキ ュ リ ティ ソリ ュー ショ ン の プラ ッ ト フ ォ ー ム 


金 


アプ リケーション : CA (必須 ) 、VM、PC 


1@) 
画 
AWS クラ ウド コネ クタ 
クラ ウド イン スタ ンス と メタ デー タ の 同期 


アプ リケーション : VM、PC 


イン ター ネッ トス キャ ナ 
ネッ トワ ー ク 境界 と 接する IP お よび URL の ペリ ミタ ー ス キャ ン 


アプ リケーション : VM、PC、WAS 


Web Application Firewall 
〇 侵入 を アク ティ ブ に 防御 し アプ リケーション を 保護 


アプ リケーション : WAF 


前 提 条 件 
Qualys の ユー ザ ア カ ウ ント で 、 以 下 の オ プシ ョ ン が 有効 化 さ れ て いる 必要 が あり ます 。 


- Qualys アプ リケーション : Vulnerability Management (VM/VMDR) 、Policy Compliance (PC) また は 
Security Configuration Assessment (SCA) 、Cloud Agent (CA) 、Web Application Scanning (WAS) 、Web 
Application Firewall (WAF) 


- Qualys の Amazon AWS EC2 スキ ャ ン オ プシ ョ ン が 有効 化 さ れ て いる 必要 が あり ます 。 こ の オプ ショ ン を 
使用 で き な い 場合 は 、Qualys の 営業 担当 (TAM) また は サポ ー ト に お 問い 合わ せく だ さい 。 


- Qualys セン サ : Virtual Scanner Appliance、Cloud Agent (必要 に 応じ て ) 


- マネ ー ジ ャ また は ユニ ッ ト マ ネー ジャ の ロー ル 


Securing AWS with Qualys 
は じ め に 


始め る 前 に 
Qualys クラ ウド スイ ー ト の 機能 と イン タフ ェ ー ス に つい て 、 す で に ご 存 知 か も し れ ま せん が 、 初 め て Qualys 
を 使用 され る 場合 は 、 次 の 概要 の チュ ー ト リア ル を 参照 する こと を お 勧め し ます (数 分 程度 で 済み ます )。 


区 本 事項 に つい て の ビデ オチ ュー トリ アル 


脆弱 性 管理 、 検 知 お よび 対応 ( 約 3 分 、 英 語 ) 
ポリ シー コン プラ イア ンス の 概要 ( 約 14 分 、 英 語 ) 


クイ ックス テッ プ : AWS の セキ ュ リ ティ 保護 
Qualys を 使用 し て AWS EC2 を セキ ュ リ ティ 保護 する た め の フ ロー は 以下 の よう に な り ま す 。 
⑳) 自動 アセ ッ ト イ ン ベ ン トリ 


EC2 コネ クタ を 設定 する こと に より AWS アカ ウン ト の 
イン ベン トリ と メタ デー タ を 同期 


セン サ の 導入 


② Scanner Appliance や Cloud Agent を イン スト ー ル 


アセ ッ ト の スキ ャ ン 
すべ て の アセ ッ ト ま た は 特定 の アセ ッ ト を 対象 に 
スキ ャ ン を 開始 


動 的 な ダッ シュ ボー ド の 表示 、 カ スタ ムウ ィ ジ ェ ッ ト の 作成 、 


の 分 析 、 レ ポー ト 、 改 善 
レポ ー ト の 実行 


役に立つ リソー ス : 情報 は 最新 の 状態 に 保 た れ て いま す 


Qualys コミ ュ ニ ティ 情報 
Qualys トレ ー ニ ング | 無料 の 自習 用 授業 、 ビ デオ シリ ー ズ 、 オ ン ラ イン コー ス (英語 ) 


Qualys ドキ ュ メ ント | 操作 ガイ ド 、 ク イッ ク 参 照 、API ドキ ュ メ ント 


Qualys AWS EC2 ビデ オシ リー ズ | AWS アセ ッ ト を 検出 し て 保護 する 方 法 を 学習 


Securing AWS with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


自動 アセ ッ ト イ ン ベ ン トリ 


Amazon 用 の コネ クタ は 、Amazon API 統合 を 使用 し て 、Amazon EC2 と VPC アセ ッ ト を 継続 的 に 検出 し 
ます 。 コネクタ は 1 つま た は 複数 の 人 Amazon アカ ウン ト に 接続 する よう に 設定 され て いる た め 、 す べ て の 
Amazon EC2 リー ジョ ン と Amazon VPC に お ける 仮想 マシ ン イ ンス タン スイ ン ベ ン トリ に 対す る 変更 を 
動 的 に 検出 し て 同期 3 る こと が で きま す 。 


AWS イン スタ ンス は 、 時 間 の 経過 に 伴っ て IP アド レス が 変更 され て も 、 そ れ ぞ れ の Amazon イン スタ ン 
ス ID に よっ て Qualys 内 で 追跡 され ます 。Qualys の ポリ シー と レポ ー ト 全体 を 駆動 する 、 ま た は 影響 を 与 
える アセ ッ ト タ グ が 、 イ ン ボ ポー ト 処 理 の 一 環 と し て アセ ッ ト エ ント リ に 自動 的 に 割り 当て られ ます 。Amazon 
イン スタ ンス に 関す る 属性 と コン テキ スト メタ デー タ も 、 ア セッ ト の 動 的 タグ 付け を さら に 実行 する た め の 
デー タ ポ イン ト と し て Qualys に 取り 込ま れ て 使用 可能 に な り ま す 。 


EC2 イン スタ ンス の 場合 は 、IP アド レス 、 タ グ 、 プ ライ ベー ト DNS 名 、 EC2 イン スタ ンス ID が 表示 され 
ます 。 


EC2 コネ クタ の 設定 


これ は 、AWS イン フラ スト ラク チャ の セキ ュ リ ティ を 保護 する た め の 第 一 歩 で す 。 こ の 項 で は 、EC2 コネ 
クタ の 設定 に 必要 な 手順 に つい て 説明 し ます 。Qualys は 、AWS アカ ウン ト ご と に 1 つの EC2 コネ クタ を 
設定 する こと を お 勧め し ます 。 


EO a アセ ッ ト イ ン ベ ン トリ は 、 ス キャ ン と 
は 独立 し て いま す 。「 ア セッ ト を 検出 する た め に EC2 コネ クタ に よっ て 使用 され る AWS API」 を 参照 し て 
くだ さい 。 


EC2 コネ クタ の アカ ウン ト 間 ロー ル 認 証 


アカ ウン ト 間 ロー ル を 使用 する と 、Qualys は 、AWS の セキ ュ リ ティ 資格 情報 を 共有 する こと な く AWS EC2 
イン スタ ンス に アク セス する こと が で きま す 。Qualys は 、AWS アカ ウン ト に 作成 され た IAM ロー ル で 
AWS EC2 イン スタ ンス に アク セス し ます 。 こ れ に より 、Qualys サブ スク リプ ショ ン 内 で IAM ユー ザ 鍵 を 
管理 する こと に よる オー バー ヘッ ド が 削減 され ます 。 


ARN 認証 


アカ ウン ト 間 ロー ル 認証 を 使用 し て 、 新 規 の EC2 コネ クタ を 作成 する こと が で きま す 。 ア カウ ント 間 ロ ー 
ル 認 証 を 使用 し て EC2 コネ クタ を 作成 する ステ ッ プ を 以下 に 示し ます 。 


1) 「AssetView (AV)」 一 「 コ ネ ク タ 」 を 選択 し 、「EC2 コネ クタ の 作成 」 を クリ ッ ク し ます 。 


AssetView マ 
ダッ シュ ポ ボート アセ ッ | テン プレ ー ト け コネ クタ 
一 革 ヒ シル 4 較 コネ クッ 

を 


| | 名 前 a ^ 説明 前 回 の 同期 


ES こ を クリ ッ ク し て 開始 


10 


Securing AWS with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


2) コネ クタ 名 と 説明 (オプ ショ ン ) を 入力 し 、 ア カウ ント タイ プ を 選択 し ます 。 


ms EC2 コネ クタ の 作成 


ステ ッ プ 1/4 コネ クタ の 詳細 


⑩ =+2zowm 。 マッ 
Connector_new 
2 リー ショ ン 選 所 衣 


タグ と アク ティ ブ 化 ーーーーーー ト ーーーーー 
アカ ウン ト タ イ プ を 選択 
© Global $ GovCloud  @⑲ China 


クロ ス ア カウ ント アク セス の 設定 


Qualys に AWS リゾ ソー ス に 対す る クロ ス ア カウ ント アク セス を 付与 する た め に IAM ロー ル を 作成 する か 、 ま た は 
CloudFormation テン プレ ー ト を 使用 し ます 。 
ルプ を 表示 | テンプ レート の ダウ ン ロ ー ト 


Qualys AWS アカ ウン ト ID 外部 ID 
805950163170 1529732406350 EE 


Role ARN 
e.g. am:aws:iam::111111111111/role/testRole 


「) Role ARN を 和 複 で 指定 
コネ クタ は 不 完全 な 状態 で 作成 され ます 。 有 効 な ARN を 指定 する と 、 コ ネ ク タ の 状態 は 変更 され ます 。 


3) AWS Console を 開始 し 、「IAM」 つ 「Roles」 項 へ 移動 し ます 。「Create Role」 を クリ ッ ク し ます 。 


4) 別 の AWS アカ ウン ト を 追加 し ます 。 


-* 別 の AWS アカ ウン ト * を 選択 し ます (コネ クタ ご と に 1 つの AWS アカ ウン ト を 使 


H し ます )。 


- コネ クタ の 詳細 か ら 「Account ID」(AWS アカ ウン ト ID) と 「External ID」 を 貼り 付け ます 。 


- 「Next: Permissions」 を クリ ッ ク し ます 。 


Create role ® 30 WS 
Select type of trusted entity 


us AWS service nother AWS account @ eh ety SAML 2.0 federation 


Or any OpenlD 
EC2, Lambda and others NG Your corporate directory 


Allows entities in other accounts to perform actions in thiS account_ Learn more 


Specify accounts that can use this role 


Account ID* 805950163170 [i 


Options マツ Require external ID (Best practice when a third party will assume this role) 


You can increase the security of your role by requiring an optional external identifier, which 
prevents "confused deputy" attacks. This is recommended if you do not own or have 
administrative access to the account that can assume this role. The external ID can include any 
characters that you choose. To assume this role, users must be in the trusted account and 
provide this exact external ID. Leam more 


External ID 


1529732406350 


Important: The console does not support using an external ID with the Switch Role feature. If 
you select this option, entities in the trusted account must use the API, CLI, or a custom 
federation proxy to make cross-account iam-AssumeRole calls. Learn more 


Require MFAW 
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5) 「SecurityAudit] と いう タイ トル の ポリ シー を 見 つけ 、 横 に ある チェ ッ ク ボ ックス を 選択 し ます 。「Next: 
Tags」 を クリ ッ ク し ます 。 


6) 「Next: Review」 を クリ ッ ク し ます 。 
7) ロー ル に 名 前 ( 例 : QualysBC2Role) を 入力 し 、「Create role」 を クリ ッ ク し ます 。 


Create role 1 2 ©O 


Review 


Provde the required information beiow and review Nis role betore you create « 


Role name” | QuaiysEC2Rold 


Role description 


Trusted entities ThG sccont 363031236652 


Polcles WW SeconyAudt ( ブ 


* Required Cancei Previous 


8) 作成 し た ロー ル を クリ ッ ク し て 、 詳 細 を 表示 し ます 。「Role ARN」 の 値 を コピ ー し て 、Qualys の 「 コ ネ 
クタ の 詳細 」 に 貼り 付け ます 。 


薦 。 Ec2 コネ クタ の 作成 


ステ ッ プ 1/4 コネ クタ の 詳細 


コネ クタ の 


2 リー ジョ ン 選 択 


タグ と アク ティ プ 化 ーー トーーーーー 
アカ ウン ト タ イ プ を 選択 
確認 @ Global GovCloud China 
クロ ス ア カウ ント アク セス の 設定 
Qualys に AWS リソー ス に 対す る クロ ス ア カウ ント アク セス を 付与 する た め に IAM ロー ル を 作成 する か 、 ま た は 
CloudFormation テン プレ ー ト を 使用 し ます 。 
7 を 表示 | デン プレ ー ト の ダウ ン ロ 


Qualys AWS アカ ウン ト ID 外部 ID 
805950163170 1529732406350 


Role ARN 
e.g. arm:aws:iam::111111111111/role/testRole 


Role ARN を 欄 で 指定 
コネ クダ は 不 完全 な 状態 で 作成 され ます 。 有 効 な ARN を 指定 する と 、 コ ネ ク タ の 状態 は 変更 され ます 。 


中 


9) コネ クタ 作成 の ウィ ザー ド で 「 続 行 」 を クリ ッ ク し て 、 残 り の ステ ッ プ (リー ジョ ン 選 択 と タグ と 
ジュ ー ル の アク ティ ブ プ 化 ) を 完了 し ます 。 


CloudFormation テン プレ ー ト 


UI か ら 直 接 ダ ウン ロー ド す る こと の で きる CloudFormation テン プレ ー ト を 使用 する と 、EC2 コネ クタ の 
作成 を 自動 化 で きま す 。 
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UI 手順 に 従っ て 新規 の EC2 コネ クタ を 作成 し 、 必 要 な ロー ル を AWS Console で 手動 で 作成 する ステ ッ プ 
を 示 し ます 。 


1) 「AssetView (AV)」 一 「 コ ネ ク タ 」 を 選択 し 、「BC2 ユネ クタ の 作成 」 を クリ ッ ク し ます 。 

2) コネ クタ 名 と 説明 (オプ ショ ン ) を 入力 し 、 ア カウ ント タイ プ を 選択 し ます 。 

3) 「 テ ンプ レー ト の ダウ ン ロ ー ド 」 リ ンク を クリ ッ ク し ます 。 こ れ に より 、 設 定 を 行う AWS Console で 実 
行 可能 な CloudFormation テン プレ ー ト が ダウ ン ロ ー ド され ます 。 
ss EC2 コネ クタ の 作成 

ステ ッ プ 174 コネ クタ の 詳細 


名 前 * (") @ 須 フィ ー ル ド 
OQ -+22omm 。 マッ 


Connector_new 


2 リー ショ ン 選 所 om 


タグ と アク ティ ブ 化 Connector description 
アカ ウン ト タ イ プ を 選択 
® Global GovCloud ) China 
クロ ス ア カウ ント アク セス の 設定 
Qualys に AWS リゾ ー ス に 対す る クロ ス ア カウ ント アク セス を 付与 する た め に IAM ロー ル を 作成 する か 、 ま た は 
CloudFormaton gs ー 
ルプ を 表地 


確認 


Qualys AWS アカ ウン トド ト ID 外部 ID 
805950163170 1529732406350 | 


Role ARN 
e-9- am:aws:iam::111111111111/role/testRole 


Role ARN を 後 で 指定 
コネ クタ は 不 完全 な 状態 で 作成 され ます 。 有効 な ARN を 指定 する と 、 コ ネ ク タ の 状態 は 変更 され ます 。 


キャ ン セ ル 寺 行 


4) 「Role ARN を 後 で 指定 」 オ プシ ョ ン を 選択 し ます 。 こ れ に より 、 コ ネ ク タ が 不 完全 な 状態 で 作成 され ま 
す 。 こ の コネ クタ は 、 後 か ら ARN ロー ル を 更新 する た め に 編集 する こと が で きま す 。「 続 行 」 を クリ ッ ク 
し て 残り の ステ ッ プ を 実行 し 、 コ ネ ク タ の 作成 を 終了 し ます 。 


5) Amazon Web Services (AWS) に ログ イン し 、CloudFormation に 移動 し ます 。 


6) スタ ッ ク を 作成 し 、 ス テッ プ 3 で ダウ ン ロ ー ド し た テン プレ ー ト を アッ プロ ー ド し ます 。 ス タッ ク が 完 
了 し た ら 、ARN ロー ル の 値 を 出力 か ら コ ピー し ます 。 


7) 「AssetView (AV)」 一 「 コ ネ ク タ 」 に 戻り 、 フ ィ ル タ を 「 不 完全 」 状 態 に 設定 し て コネ クタ を 見 つけ ま 
す 。 ユ コネ クタ を 編集 し て 、ARN の 値 を 詳細 に 貼り 付け ます 。 


* 王 コネ クタ 管理 語 ち ジ た 
結果 を フィ ル タ すべ て クリ ア ン EC2 コネ クタ の 作成 | | フィ ル タ を 切り 替え 


名 前 


上 F| ^ 名 前 前 回 の 同期 = に ーー Modules 
基 ⑳ emmpem 回 - - rm EE 


羽 如 


待ち 行列 内 

周期 中 

正常 に 完了 

完了 (エラー あり ) 
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EC2 リー ジョ ン の 選択 

EC2 デー タ を 収集 する リー ジョ ン を 選択 し ます 。 各 リー ジョ ン の アセ ッ ト 数 を 取得 する に は 、「 ア セッ ト を 
同期 」 ボ タン を 使用 し ます 。 少 数 の リー ジョ ン の み を 選択 し た 場合 は 、 後 か ら 修 正 し て リー ジョ ン を 追加 す 
る こと が で きま す 。 す べ て の リー ジョ ン を 選択 する こと を お 勧め し ます 。 こ うす る こと で 、 誰 か が 別 の リー 
ジョ ン で イン スタ ンス を 使用 し た 場合 で も 表示 され る よう に な り ま す 。 


SS。 EC2 コネ クタ の 作成 


ステ ッ プ 2/4 リー ジョ ン 情 報 


1 コネクタ の 詳細 ご 選択 され た すべ て の リー ジョ ン か ら デ ー タ を フェ ッ チ し ます 


@ J ジョン mR リー ジョ > 名 
Asis Pacific (Mumbsi) 
EF Asis Pacific (Seoul) 
Asia Pacific (Singapore) 
Asia Pacific (Sydney) 
Asis PacWc (Tokyo) 
Canscs (Centra) 
EU (Franktur) 
EU (reland) 
名 EU London) 
Eu ars) 


South America (Sao Paulo) 


アセ ッ ト の アク ティ ブ 化 


EC2 アセ ッ ト を スキ ャ ン す る に は 、 所 有 し て いる Qualys ライ セン ス に 対し て EC2 アセ ッ ト を アク ティ ブ 
化す る 必要 が あり ます 。 事 前 認証 済み の スキ ャ ナ を AWS で 使用 する 場合 は 、 こ こ で アセ ッ ト を アク ティ ブ 
化す る 必要 が あり ます 。 そう で な い 場 合 は 、 AssetView か ら 手 動 で アク ティ ブ 化 し ます 。 「 自 動 的 に アク ティ 
プ 化 」 を 選択 する こと に より 、 検 出さ れ た すべ て の EC2 アセ ッ ト (サイ ズ が 中 以上 ) が アク ティ ブ 化 され 
ます 。 こ れ で 、 ア セッ ト を スキ ャ ン す る 準備 が 整い ま し た 。 


アセ ッ ト の タイ プ が ml1.small、t1.micro また は t2.nano の イン スタ ンス は アク ティ ブ 化 か ら 除 外さ れる こと 
に 注意 し て くだ さい 。 こ の よう な アセ モッ ト は 、Qualys に イン ポー ト は され ます が 、VM/VMDR 、PC、 ま た 
は SCA に 対し て は アク ティ ブ 化 され ませ ん 。AWS で 受け 入れ 可能 な スキ ャ ン ポ リ シ ー に より 、 ml.small、 
t1.micro、 ま た は 2.nano の イン スタ ンス は スキ ャ ン で きま せん 。 


EC2 コネ クタ の 作成 


ステ ッ プ 3/4 タグ と アク ティ ブ 化 に 関す る 情報 
事前 承認 され た Scanner Appliance を 使用 する 予定 の 場合 は 、 ス キャ ン 用 に アセ ッ ト を アク ティ ブ 化 し て タグ を 割り 当て ます , 
必須 フィ ー ル トド 


1 コネ クタ の 詳細 の アク ティ ブ 化 の 選択 


2 リー ジョ ン 選 択 アプ リク ン の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 
タク と アク ティ ブ 化 acinar 
> の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 


確 有 


ン の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 


アセ ッ ト タ グ の 選択 

検出 済み アセ ッ ト に 自動 的 に 追加 する タグ を 選択 選択 | 作成 | 
アク ティ ブ プ ブ 化 を 後 か ら 行 う 場合 に は 、「AssetView」 の 「 ア セッ ト 」 タ ブ に 移動 し て アク ティ ブ 化 する アセ ッ 
ト を 選択 し 、「 ア クシ ョ ン 」 メ ニュ ー か ら 「 ア セッ ト の アク ティ ブ プ 化 」 を 選択 し ます 。 
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CloudView で の AWS コネ クタ の 有効 化 


AssetView で AWS コネ クタ を 新規 作成 する か 、 既 存 の ユネ クタ を 編集 する と き に 、「CloudView で コネ ク 
タ 作 成 」 オ プシ ョ ン を 使用 する と 、 そ の AWS コネ クタ を CloudView アプ リケーション で も 使用 で きる よ 
うに な り ま す 。 こ れ に より 、CloudView で 別途 コネ クタ を 作成 する 必要 が な く な り ま す 。 


| Ec2 コネ クタ の 作成 


ステ ッ プ 3/4 タグ と アク ティ ブ 化 に 関す る 情報 
事前 了 記 され た Scanner Appliance を 使用 する 子 定 の 堀 合 は 、 ス キャ ン 用 に アセ ッ ト を アク ティ ブ 化 し て タグ を 割り 当て ます 。 
必須 フ 


コネ クタ の アク ティ ブ 化 の 選択 ) の 回 フィ ー ル ト 


リー ジョ ン 選 択 VM スキ ャ ン ア プリ ケー ショ ン の すべ て の アセ ッ ト を 目 動 的 に アク ティ ブ 化 
タグ と アク ティ ナブ 化 eo 
PC スキ ャ ン ア プリ ケー ショ ン の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 


確 妥 


CloudView で の コネ クタ の 作 


Cioudview で 同じ コネ クタ の 自動 作成 を 避 択 し て くだ さい 。 お 使い わ ア カウ ント に 、CioudView で コネ クタ を 作成 する た め に CloudView 
モジ ュー ル で 必要 な バー ミッ ショ ン が ある こと を 人 確 康 し て くだ さい 。 


AssetView で いっ た ん 有効 に する と 、 後 で この オプ ショ ン を 無効 に し て も 、 対応 する コネ クタ は CloudView 
か ら 削 除 さ れ ま せん 。CloudView アプ リケーション か ら コ ネ ク タ を 明示 的 に 削除 する 必要 が あり ます 。 


タグ の 割り 当て 


Qualys を 使用 し た EC2 スキ ャ ン は 、“" タグ に よる スキ ャ ン ” の ワー ク フ ロ ー に 基づき ます 。 Qualys の タグ 
を EC2 の すべ て の イン スタ ンス に 関連 付け る こと が ベス ト プ ラ クティ ス で す 。 事 前 認証 済み の スキ ャ ン を 
使用 し て スキ ャ ン を 行う に は 、 タ グ の 使用 が 必須 に な り ま す 。 汎 用 の アセ ッ ト タ グ (例え ば “BC2 ”) を 少 
な く と も 1 つ 作 成 し 、 イン ポー ト し た すべ て の アセ ッ ト に 対し て この EC2 タグ を 自動 的 に 適用 する よう に 
コネ クタ を 設定 する こと を お 和 勧め し ます 。 


Create EC2 Connector 


ステ ッ プ 3/4 タグ と アク ティ ブ 化 に 関す る 情報 
事前 承認 され た Scanner Appliance を 使用 する 予定 の 場合 は 、 ス キャ ン 用 に アセ ッ ト を アク ティ ブ 化 し て タグ を 代り 当て ます 。 


コネ クタ の 詳細 ア アク ティ ブ 化 の 選択 


リー ジョ ン 選 択 マ VM スキ ャ ン ア プリ ケー ショ ン の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 
タグ と アク ティ ブ 化 a Se っ 
PC スキ ャ ン ア プリ ケー ショ ン の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 


確認 
SCA スキ ャ ヤン アプ リケーション の すべ て の アセ ッ ト を 自動 的 に アク ティ ブ 化 


アセ ッ ト タ グ の 選択 


検出 済み アセ ッ ト に 自動 的 に 造 加 す る タグ を 選択 


[ec Business Units 
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検出 され た EC2 イン スタ ンス の IP アド レス や その 他 の EC2 属性 に 基づい て 動 的 に タグ を 作成 し 、 こ の タ 
グ を BC2 アセ ッ ト に 自動 的 に 適用 する こと も で きま す 。 


コネ クタ の 作成 を 終了 する に は 、「 完 了 」 を を クリック し ます 。 
次 に 実行 する こと 


コネ クタ を 作成 し た ら 、BC2 イン スタ ンス を 検出 し て アク ティ ブ 化 し 、Qualys アカ ウン ト に 追加 し ます 。 
追加 し た アセ ッ ト は 、Qualys クラ ウド スイ ー ト アプ リケーション の アセット イン ベン トリ に 表示 され ます 。 


アプ リケーション アセ ッ ト イ ン ベ ン トリ 
VM/VMDR 、PC、SCA 「 ア セッ ト 」 つ 「 ホ スト アセ ッ ト 」 タ ブ 
AssetView 「 ア セッ ト 」 タ ブ 
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既存 の コネ クタ の アカ ウン ト 間 ロー ル へ の アッ プ グ レー ド 


アク セス キー を 使用 し て 作成 し た 既存 の コネ クタ を 、 ア カウ ント 間 ロ ー ル 認証 を 行う よう に アッ プ グ レー ド 
する こと が で きま す 。 新 し い コ ネ ク タ で は アカ ウン ト 間 の アク セル ロー ル の み が サ ポー ト さ れ 、 ア クセ ス 
キー ベー ス の コネ クタ は サポ ー ト され ませ ん 。 


当社 で は 、 既 存 の EC2 コネ クタ か ら ア カウ ント 間 ア クセ スロ ー ル を 使用 する コネ クタ へ の 移行 を 支援 し ま 


す 。 こ の 既存 の EC2 コネ クタ か ら ア カウ ント 間 ロ ー ル へ の 移行 は 一 方 向 で あり 、 元 に 戻す こと は で きま せ 
ん 。 


アク セス キー ベー ス の コネ クタ に 対す る サポ ー ト は 、180 日 後に 停止 され ます 。180 日 以内 に 、 
アク セス キー ベー ス の コネ クタ か ら ア カウ ント 間 ロー ル に アデ アップグレード し て くだ さい 。 


アク セス キー ベー ス の コネ クタ か ら ア カウ ント 間 ロ ー ル へ アッ プ グ レー ド す る 手順 


1) 「AssetView」 つ 「 コ ネ ク タ 」 に 移動 し ます 。 ア ッ プ グレ ー ド する EC2 コネ クタ を 特定 し て 右 ク リッ ク 
し 、「 ク イッ クア クシ ョ ン 」 メ ニュ ー で 「ARN ロー ル へ ヘ へ アップグレード 」 を 選択 し ます 。 


2 コネ クタ 管理 コネ クタ 
EC2 コネ クタ の 作成 | | フィ ル タ を 切り 闘え 


同期 中 


= ou 前 回 の 同期 エラ ー モジ ュー ル 
正 連 に 完了 
完了 (エラ ー あ り ) 切 ⑳ sc2cennecer 還 | クイ ッ ク ァ クシ ョ ン と gm 
無効 まこ 
自動 的 に アク ティ ブ 化 さ れ た モジ ュ 
ー ル 


SN EC2 コネ クタ の アッ プ グ レー ド 
コネ クタ の 詳細 


名 前 * 
ec2-connector 
説明 

255 characters 


アカ ウン ト タ イ プ を 選択 


クロ ス ア カウ ント アク セス の 設定 


Qualys に AWS リゾ ー ス に 対す る クロ ス ア カウ ント アク セス を 付与 する た め に IAM ロー ル を 作成 する か 、 ま た は CloudFormation デン プレ ー 
ト を 使用 し ます 。 


7 を 表示 1 プレ ー ト の ダウ ン ロ ー ト 


Qualys AWS アカ ウン ト ID 外部 ID 
S05950163170 1553189089028 
Role ARN 

例 am:aws:iam::111111111111/role/testRole 


Role ARN を 後 で 指定 
コネ クタ は 不 完全 な 状態 で 作成 され ます 。 有 効 な ARN を 指定 する と 、 コ ネ ク タ の 状態 は 変更 され ます 。 


we 
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同じ AWS アカ ウン ト に ある 複数 の EC2 コネ クタ の アッ プ グ レー ド 

一 意 の 各 AWS アカ ウン ト に 対し て 作成 で きる コネ クタ は 1 つ に 限ら れ ま す 。 同じ AWS アカ ウン ト に 対し 
て 複数 の EC2 コネ クタ が ある 場合 は 、 そ の 中 の 1 つの コネ クタ の み を 保持 する 必要 が あり ます 。 コネクタ 
を 削除 する 前 に 、 保 持 す る アカ ウン ト に 設定 (リー ジョ ン 、 タ グ 、 ア クティ プ ブ 化 な ど ) を 追加 し た こと を 確 
認 し て か ら 、 ア カウ ント 間 ロ ー ル ベー ス の 認証 に 切り 替え て くだ さい 。 


複 


uy 


同じ AWS アカ ウン ト 内 に 重複 し て いる コネ クタ が あり 、 そ の 中 の 1 つ を アッ プ グ レー ド す る 場合 は 、 旨 
し て いる コネ クタ を 示す 競合 レポ ー ト が 表示 され ます 。 


NNN コネ クタ の 競合 レポ ボー ト 


重複 コネ クタ を 削除 
AW5 アカ ウン ト に 関連 付け る こと の で きる ニ ネ クタ は 1 つの み で す 。 銃 行 する に は 、 重 褒 し て いる ニニ ネ ク タ 
を 削 降 する 必要 が あわ り ます, 

コネ クタ 名 アカ ワウ ント ID キジ ュー ル リー ジョ ン 


apac-vm-sca-1 205767712438 Lw | 5 


重複 し て いる コネ クタ を 削除 し て か ら 、 各 AWS アカ ウン ト で 1 つの コネ クタ の み が 保 持 さ れる よう に し ま 
す 。 


一 意 の 各 AWS アカ ウン ト に 対し て 作成 で きる コネ クタ は 1 つ に 限ら れ ま す 。ARN に アッ プ グ 
レー ド す る 前 に 、 重 複 し て いる コネ クタ を 削除 し て 複数 の EC2 コネ クタ を 1 つ に マー ジ す る こ 
と を お 勧め し ます 。 


ベー ス ア カウ ント 認証 の 使用 


アカ ウン ト 間 ロー ル を 持つ AWS コネ クタ は 、Qualys アカ ウン ト を 使用 し ます 。Qualys アカ ウン ト を 使用 
し た く な い 場 合 は 、 ベ ー ス アカ ウン ト を 使用 し て AWS コネ クタ を 設定 で きま す 。 


Qualys アカ ウン ト を 使用 せ すず に AWS コネ クタ を 設定 する 場合 、 自 身 の AWS アカ ウン ト を ベー ス ア カウ ン 
ト と し て 使用 する よう 設定 で きま す 。 作 成す る ベー ス ア カウ ント に 、AWS アカ ウン ト ID (複数 の AWS ア 
カウ ント が ある 場合 は 、 少 な く と も 1 つの AWS アカ ウン ト ) を 対応 させ る 必要 が あり ます 。 


例え ば 、A1、A2、A3 の 3 つの AWS アカ ウン ト が ある と し ます 。 こ れ ら の アカ ウン ト の いずれ か 1 つ を 
選択 し て 、 ベ ー ス アカ ウン ト に 対応 させ る こと が で きま す 。 残り の 2 つの アカ ウン ト に は 、Qualys アカ ウ 
ント が 使用 され ます 。 


ベー ス ア カウ ント の 作成 


新しい コネ クタ を 作成 する 前 に 、 同 じ ア カウ ント タイ プ (リー ジョ ン ) で ベー ス ア カウ ント を 作成 し ます 。 
ベー ス ア カウ ント を 作成 し な い 場 合 で も 、 コ ネ ク タ を 作成 で きま す 。 
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「 コ ネ ク タ 」 つ 「 コ ネ ク タ 」 を 選択 し 、「 ベ ー ス アカ ウン ト の 設定 」 を クリ ッ ク し ます 。 名 前 、AWS アカ ウ 


ント ID、 ア クセ スキ ー、 お よび 秘密 負 


コネ クタ ベー ス ア カウ ント 


アカ ウン ト 名 * 
My AWS Accout 


AWS アカ ウン ト ID 
111111111111 


アク セス キー 


アカ ウン ト タ イ プ を 選択 


® Global GovCloud China 


い 。AWS コン ソー ル で の 詳細 な 設 


さい 。 
ベー ス ア カウ ント の 編集 


ま を 指定 し て か ら 、 ア カウ ント タイ プ を 選択 し ます 。 


ヒン ト 表 示 : 有効 | 無効 ヘル プ を 起動 X 


作成 で きる ベー ス ア カウ ント は 、 ア カウ ント タイ プ ご と に 1 つの み に な り ま す 。 そ の ベー ス ア カウ ント を 設 
定 す る AWS アカ ウン ト ID に 、AWS コン ツー ル で ポリ シー が 関連 付け られ て いる こと を 確認 し て くだ さ 


手順 に つい て は 、「AWS で の ベー ス ア カウ ント 設定 」 を 参照 し て くだ 


編集 する ベー ス ア カウ ント を 選択 し 、「Quick action」 メニ ュー を クリ ッ ク し て 「Edit」 を 選択 し ます 。 ア カ 
ウン ト 名 、AWS アカ ウン ト ID、 ア クセ スキ ー、 秘 客 鍵 を 編集 で きま す 。 ア カウ ント タイ プ は 編集 で きま せん 。 


既存 の コネ クタ が ベー ス ア カウ ント を 使用 する よう 更新 
アカ ウン ト 間 ロー ル を 持つ 既存 の AWS コネ クタ が ベー ス ア カウ ント を 使用 する よう に 更新 する に は 、 以下 


の 手順 を 実行 する 必要 が あり ます 。 


- AWS アカ ウン ト ID を 使用 する ベー ス ア カウ ント を 作成 し ます (「 ベ ー ス アカ ウン ト の 作成 」 を 参照 し て 


くだ さい )。 
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-「IAM Roles」 の 「Trust Entities」 を 更新 し ます 。 AWS コン ソー ル で 、「IAM role」 つ 「Trust relationships」 
を 選択 し 、「Bdit trust relationship」 を 選択 し ます 。 そ の ベー ス ア カウ ント を 設定 する AWS アカ ウン ト ID 
が 、AWS コン ソー ル の 信頼 で きる リレー ショ ンシップ の アカ ウン ト 番 号 と 一 致す る こと を 確認 し ます 。 
「Update Trust Policy」 を クリ ッ ク し ます 。 


Edit Trust Relationship 


You can customize trust relationships by editing the followind access control policy document. 


Policy Document 


nt 


"Version": "2912-19-17"。 アカ ウン ト 番 号 が 、 ベー ス ア カウ ント の 作成 時 に 
r "Statement": [ 指定 し た 番号 と 一 致す る こと を 確認 し て くだ さい 。 
{ 
"Effect": "Al11ow" 。 
rz "Principal": { 
"AWS": "arn:aws: iam:G4111111111) root" 
}, 
"Action": "sts:AssumeRole", 
¥ "Condition": { 
"StringEquals": { 
"sts:ExternalId": "1541397767358" 
} 
} 
] 
} 


AWS で の ベー ス ア カウ ント 設定 


コネ クタ に ベー ス ア カウ ント を 使用 する 場合 、 一 定 の 前 提 条 件 と AWS コン ソー ル で 構成 する 必要 の ある 設 
定 が あり ます 。 ベ ー ス アカ ウン ト を 設定 する た め に AWS コン ソー ル で 必要 な 手順 と 構成 は 以下 の と お り で 


o 


IAM ユー ザ の 作成 と AWS へ の ポリ シー の 関連 付け 


1. AWS コン ソ ツール で 「AWS」 つ 「Policies」 を 選択 し 、 次 の JSON コン テン ツ を 含む ポリ シー を 作成 し 
ます (「AssumeRole」 など)。 
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2. IAM ユー ザ を 作成 し ます 。「Identity and Access Management」 一 「Users」 を 選択 し 、「Add user」 を ク 
リッ ク し ます 。 


に Services マン Resource Groups マ x 


Add user GO) 2) (3) (4) (5 


Set user details 


You can add multiple users at once with the same access type and permissions. Leam more 


User name* Qualys-Demo 


© Add another user 


Select AWS access type 
Select how these users will access AWS. Access keys and autogenerated passwords are provided in the last step. Learn more 
Accesstype* Y Programmatic access 


Enables an access key ID and secret access key for the AWS API, CLI, SDK, and 
other development tools 


AWS Management Console access 
Enables a password that allows users to siqn-in to the AWS Management Console 


3. ユ ー ザ 名 を 指定 し 、 ユ ー ザ の 「Programmatic access」 を 有効 に し ます 。「Next: Permissions」 を クリ ッ ク 
し ます 。 


に いい Services マ て Resource Groups マ x 


Add user 7 ®⑧ 3 5 


・ Set permissions 


(J @ Copy pemissions from Aitach existing policies 
246 a Add US to group CXiSting USer 


directly 


Create policy 


の 
ご 
Filter policies ン Q AssumeRole Showing 2 results 
Policy name > Tpe Used as Description 
ンマ ル ゅ AssumeRole Customer managed Permissions policy (1373) Attach this policy to users to grant them Ass 


4.「Attach existing policies directly」 を 選択 し 、「Filter policies」 に 作成 し た ポリ シー の 名 前 (AssumeRole) 
を 入力 し ます 。 設 定 し た ポリ シー (AssumeRole) を 選択 し 、「Next: Tags」 を クリ ッ ク し ます 。 


必要 に 応じ て タグ を 追加 し ます (オプ ショ ン )。 設定 し た ユー ザ 設 定 を 確認 し 、「Create user」 を クリ ッ ク し 
ます 。 
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EC2 コネ クタ の 動作 


アデ アセット 検出 : EC2 コネ クタ は 、 ク ラウ ド 内 か ら 継 続 的 な 同期 メカ ニズム を 使用 し て 、 ア セ モット 検出 を 実行 
し ます 。 コ ネ ク タ は 4 時 間 ご と に AWS アカ ウン ト と 同期 し 、 すべて の イン スタ ンス (終了 し た イン スタ ン 
ス も 含む ) を 取得 し ます 。 

AWS は 、 終 了 し た イン スタ ンス を 15 分 間 だ け 保 持 し ます 。 た だ し 、Qualys に は 終了 し た すべ て の イン ス 
タン ス の レコ ー ド が 保存 きれ て お り 、 終了 し た イン スタ ンス の 履歴 と 詳細 を いつ で も 追跡 する こと が で きま 
す 。 


アデ アセット の 同期 : Qualys アカ ウン ト に アセ ッ ト を 追加 し ます 。 エラ ー の ある アセ モット (除外 され た アセ ッ ト 
な ど ) 以外 の すべ て の アセ ッ ト が Qualys アカ ウン ト に 追加 され ます 。 


アク ティ ブ 化 : Scanner Appliance を 使用 し た スキ ャ ン の 実行 を 計画 する 場合 は 、Qualys アカ ウン ト に 追加 
し た アセ モッ ト に つい て 、Vulnerabilhity Managemen(Polcy Complhance/Security Configuration Assessment 
の 各 ラ イセ ンス を アク ティ プ ブ 化 する 必要 が あり ます 。 アク ティ ブ 化 は 手動 で 行う こと も 、BC2 コネ クタ の 設 
中 に 自動 で 行う 2 こと も で きま す 。 


アク ティ ブ 化 か ら の 除外 : アク ティ ブ 化 か ら 除 外さ れる 終了 し た イン スタ ンス の 他 に 、 ml.small、 t1.micro、 
また は 2.nano の 各 イ ンス タン ス も アク ティ ブ 化 か ら 除 外さ れ ま す 。AWS で 受け 入れ 可能 な スキ ャ ン ポ リ 
シー に より 、ml.small、t1.micro、 ま た は 12.nano の イン スタ ンス は スキ ャ ン で きま せん 。 こ の よう な イン 
スタ ンス に 対し て は 、Cloud Agent を 使用 する こと が で きま す 。 


イン ボー ト し た アセ ッ ト の 表示 


ダッ シュ ボー ド アセ ッ ト テンプ レー ト コネ クタ 


®⑧ Auto-EC2 Connector 


区 ⑯ comedoe USE 

待ち 行列 内 こ US West AsiaP 
ロ 充 全 a 

mt 【O】 EC2 Connect tor ーー EU (lr 

EERT OED rimo 

ロロ 完了 (エラ ー あ り ) @® Fankun 1 時 間 前 EU (Fra. 


[ 画 ま >] 


コネ クタ の 作成 が 終了 する と 、 EC2 コネ クタ は イン スタ ンス の 取得 を 開始 し ます 。 コネクタ の 実行 が 完了 し 

た と き に 表示 され る 各種 の 情報 に つい て 説明 し ます 。 

総 アセ ッ ト 数 - 「 ア セッ ト 数 」 カ ラム に は 最後 の EC2 コネ クタ の 実行 で 検出 お よび 同期 され た アセ ッ ト 
の 数 が 示さ れ ま す 。 

@ 同期 され た アセ ッ ト - 「 ア セッ ト 数 」 カ ラム の 緑色 の 部 分 は 、 同 期 さ れ た アセ ッ ト を 表し ます 。 同期 
され た アセ ッ ト 数 は 、Qualys で 正常 に 処理 され た アセ ッ ト の 数 を 示し ます 。 


3 除外 され た アセ ッ ト - 青色 の 部 分 は 、 同期 され た が VM/PC/SCA の アク ティ ブ 化 で 除外 され た アセ ッ 

ト を 表し ます 。 除 外さ れ た アセ モッ ト は 、 終 了 し た アセ ッ ト で ある か 、 ま た は AWS の スキ ャ ン で 受け 

入れ 可能 な 使用 ガイ ド に より Qualys スキ ャ ナ で は スキ ャ ン で き な い ml.small、t1.micrto、 ま た は 
12.nano で ある 可能 性 が あり ます 。 除 外さ れ た アセ ッ ト は 、 同 期 さ れ た アセ モット の サブ セッ ト で す 。 


の 表示 アセ ッ ト - その 期間 に コネ クタ で 検 由 され た アセ モット の 総数 で す 。 
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エラ ー の ある アセ ッ ト - 「 ア セッ ト 数 」 カ ラム に は 、 エ ラー の ある アセ モ セット を 示す 赤色 の 部 分 が 示さ れる こ 
と も あり ます 。 エ ラー の ある アセ ッ ト と は 、Qualys に よる 処理 中 に 問題 が 発生 し た アセ ッ ト の こと で す 。 


コネ クタ に よっ て 収集 され た アセ ッ ト は 、「AssetView」 に 移動 する と 表示 され ます 。「 ア セッ ト の 詳細 」 ペー 
ジ の 「EC2 情報 」 タ ブ に は 、 収 集 さ れ た AWS イン スタ ンス の メタ デー タ が 表示 され ます 。 次 に 示す の は 、 
収集 し た 情報 を 示す スク リー ン シ ョ ッ ト の 例 で す 。 


EET 


表示 モー ド EC2 情報 
アセ ッ ト の サマ リ 
一 般 情報 
オー プン ボー ト 
Instance ID: 1-Ofeb4926d1b326013 
Ss Instance Type: t2.micro 
イン スト ー ル 済 ソ フト ウェ ア Created Date: 2017-08-03 02:17:55.0 
state: 
脆 避 性 Spot instance 
Image (AMI) ID ami-58d65b3b 
Te RRET Account ID: 205767712438 
コン プラ イア ンス ロケ ーション 
EC2 Information Region: Asia Pacific (Singapore) 
Availability Zone: apP-Southeast-1a 
アラ ー ト 通知 Zone vec 


Subnet ID: subnet-1925ac6e 


vpe-c9f643ac 
ip-172-30-0-204.ap-southeast-1.compute.internal 


lo) 172.30.0.204 
ic 127.001 


EC2 イン スタ ンス の 検出 が 完了 する と 、Amazon EC2 イン フラ スト ラク チャ を スキ ャ ン し て セキ ュ リ ティ 
を 確保 する 準備 が 整っ た こと に な り ま す 。 


AWS メタ デー タ 

この 項 で は 、Qualys Cloud Agent、AssetView コネ クタ 、 お よび Qualys Scanner が 提供 する クラ ウド プロ 
バイ ダ の メタ デー タ に 関す る 情報 に つい て 説明 し ます 。 

AssetView コネ クタ お よび Cloud Agent 


General: 


- Reservation ID 
- Imstance ID 

- Instance Type 

- Created Date 

- Image (AMI) ID 


- Account ID 


- Instance State (QCA デー タ 収 集 の た め の 実 行 の み ) 


Location: 
- Region 
- Availabihty Zone 


- one 
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Network: 
- VPC ID 


- DNS (Private) 

- DNS (Public) 

- Local Hostname 

- MAC Address 

- Subnet ID 

- Security Groups 

- Security Groups IDs 
- IP Address (Private) 
- IP Address (Public) 


AssetView コネ クタ の み 
- AWS Tags 


- Instance State Updates (Stopped、Terminated、.…) 


QID - 370098 Amazon EC2 Linux イン スタ ンス メタ デー タ 


metadata/ 

- AMI ID 

- AMI Launch Index 
- AMI Manifest Path 
- Hostname 

- Instance Action 

- Imstance ID 

- Instance Type 

- Kernel ID 

- Local Hostname 

- Local Ipy4 

- Mac 

- Public Hostname 

- Public Ipv4 

- Reservation ID 


- Security Groups 
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- Ancestor AMI Ids 

- Profile 
dynamic/instance-identity/documen(/ 
- accountld 

- avallabihityZone 

- kernelld 

- ramdiskId 

- PendingTime 

- aTchitecture 

- Privatelp 

- devpayProductCodes 
- version 

- billingProducts 

- instanceld 

- imageld 

- InstanceType 


- region 
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アセ ッ ト を 検出 する た め に EC2 コネ クタ に よっ て 使用 され る AWS API 


Qualys で は 、EC2 イン スタ ンス の 検 日 


る た め に 、 次 の 3 種類 の API を 使 
Web サイ ト を 参照 し て くだ さい 。 


DescribelInstances API 


日 と AWS アカ ウン ト か ら イ ンス タン ス に つい て の 追加 情報 を 識別 す 
し ます 。 こ れ ら の API の 詳細 に つい て は 、 下 記 の Amazon AWS の 


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API DescribelInstances.html 


Describelmages API 


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API Describehmages.html 


DescribeNetworkInterfaces API 


https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API DescribeNetworkInterfaces.html 


検出 ジョ ブ は オン デマ ンド で 実行 され る か 、 ま た は デフ ォ ル ト の 検 
この 頻度 は 、 現 在 の と ころ 変更 で きま せん 。 


頻度 (4 時 間 ご と ) で 実行 され ます 。 


Securing AWS with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


EC2 コネ クタ 用 Qualys API 


EC2 コネ クタ の 各種 の 操作 は 、APTI 経由 で も 実行 で きま す 。AWS に 関連 する Qualys API の 使用 の 詳細 に 
つい て は 、『Asset Management and Tagging API v2 User Guide』 (PDF、 英 語 ) を 参照 し て くだ さい 。 


以下 に 便利 な EC2 コネ クタ API を いく つか 示し ます 。 


AWS コネ クタ の 作成 


https://qualysapi.qualys.com/qps/res/2.0/create/am/awsassetdataconnector 


コネ クタ の 実行 
https://qualysapi.qualys.com/qps/res(72.0/run/am/assetdataconnector/<1d> 


ホス ト の アセ ッ ト 情 報 の 取得 (EC2 イン スタ ンス の メタ デー タ の 取得 ) 
https://qualysapi.qualys.com/qps/rest/2.0/get/am/hostasset/<id> 
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AWS EC2 環境 で の スキ ャ ン 


まず ネッ トワ ー ク の 基本 用 語 に つい て 説明 し ます 。 


VPC: 定義 し た 仮想 ネッ トワ ー ク 内 で AWS リソー ス を 起動 で きま す 。 こ れ は 、 独 自 の デー タ セ ンタ ー で 運 
する 従来 の ネッ トワ ー ク と よく 似 て いま す が 、AWS の スケ ー ラ ビリ ティ を 活用 で きる と いう メリ ッ ト が 
あり ます 。 


VPC ピア リン グ 接 続 : 2 つの VPC 間 の トラ フィ ッ ク を ルー ティ ング で きる 、VPEC 間 ネ ットワーク 接続 で す 。 


トラ ンジ ッ ト ゲ ー ト ウェ イ : ネッ トワ ー ク トラ ンジ ッ ト ハ ブ で す 。 こ れ を 使用 し て 、 仮想 プラ イベ ー ト クラ 
ウド (VPC) と オン プレ ミス ネッ トワ ー ク を 相互 接続 で きま す 。 


次 に 、AWS EC2 環境 で スキ ャ ン を 実行 する た め の さ ま ざ ま な シナ リオ を 紹介 し ます 。 
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VPC 内 で 1 つの スキ ャ ナ が 複数 の イン スタ ンス を スキ ャ ン す る 場合 


リー ジョ ン 


スキ ャ ナ が HTTPS 経由 (セキ ュ 
の リティ グル ー プ お よび イン ター 


ネッ トゲ ー ト ウェ イ 経 由 ) で 
Qualys クラ ウド プラ ッ ト フ ォ ー 
ム と AWS EC2 お よび STS エン 
coo ド ポ イン ト に 接続 する よう 、 設定 
| EC2-VPC イン スタ ンス する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 中 断 さ 
れる 可能 性 を 最小 限 に する た め 
に 、 セ キュ リティ 評価 か ら 、EC2 
イン スタ ンス タイ プ の T3.nano、 
T2.nano、T1.micro、 M1.small を 除 
外す る こと を 推奨 し て いま す 。 こ 
れ ら を スキ ャ ン す る 場合 は 、Cloud 


+ 


! 4 
! 1 
1 
1 
| 
1 


RBS 5 ! Agent の 使用 を 推奨 し ます 。 


Appliance A | | 
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VPC 内 で 複数 の スキ ャ ナ が 複数 の イン スタ ンス を スキ ャ ン す る 場合 


AWS で は 、 お 使い の 環境 が 中 断 さ れる 可能 性 を 最小 限 に する た め に 、 セ キュ ! 


EC2-VPC 
イン スタ ンス 


Virtual Scanner 
Appliance B 


イン スタ ンス の 数 と スキ ャ ン の 疾 
度 に よっ て は 、VPC 内 で 複数 の イ 
ンス タン ス を スキ ャ ン す る の に 複 
数 の スキ ャ ナ が 必要 に な る 場合 が 
あり ます 。 各 VPC で 少な く と も 1 
つの スキ ャ ナ が 必要 で す 。 要 件 に 
応じ し て 、 さ ら に スキ ャ ナ を 追加 し 
て くだ さい 。 


スキ ャ ナ が (セキ ュ リ ティ グル ー 
プ お よび イン ター ネッ トゲ ー ト 
ウェ イ 経 由 で ) Qualys クラ ウド プ 
ラッ ト フ ォ ー ム と AWS EC2 お よ 
び STS エン ド ポ イン ト に 接続 する 
よう 、 設 定 する 必要 が あり ます 。 


導 価 か ら 、EC2 イン ス 


=i 


ティ 
タン スタ イプ の T3.nano、T2.nano、T1.micro、M1.small を 除外 する こと を 推奨 し て いま す 。 こ れ ら を ス 


キャ ン す る 場合 は 、Cloud Agent の 使 / 


を 指 


E 反 し ます 。 
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VPC 内 の サブ ネッ ト 間 で 1 つの スキ ャ ナ が 複数 の イン スタ ンス を スキ ャ ン す る 場合 


Virtual Scanner 
Appliance B 


pt 
«Ops Platform 


EC2-VPC 
イン スタ ンス 


1 
ee ーーーーーーー コ ーーーーー ニ ーー 


サブ ネッ ト 1 


サブ ネッ ト 2 


Instanc-type: 


Virtual Scanner を 


Appliance A 


サブ ネッ ト 3 


Qualys Cloud 
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導入 され て いる ネッ トワ ー ク に 制 
限 が な い 限 り 、 ス キャ ナ は 通常 、 
VPC 内 の サブ ネッ ト 間 で 機能 し 
ます 。 


スキ ャ ナ が HTTPS 経由 (セキ ュ 
リティ グル ー プ また は イン ター 
ネット ゲー トウ ェ イ 経由 ) で 
Qualys クラ ウド プラ ッ ト フ ォ ー 
ム お よび AWS EC2 お よび STS 
エン ド ポ イン ト に 接続 する よう 、 
設定 する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 中 断 さ 
れる 可能 性 を 最小 限 に する た め 
に 、 セ キュ リティ 評価 か ら 、EC2 
イン スタ ンス タイ プ の T3.nano、 
T2.nano、T1.micro、M1.small を 除 
外す る こと を 推奨 し て いま す 。 こ 
れ ら を スキ ャ ン す る 場合 は 、Cloud 
Agent の 使用 を 推奨 し ます 。 


Securing AWS with Qualys 
AWS EC2 環境 で の スキ ャ ン 


近 還 人 ン 内 の ピア リン グ 接 続 さ れ た VPC 間 で 1 つの スキ ャ ナ が 複数 の イン スタ ンス を スキ ャ ン 
口 


要件 に 応じ し て 、 さ ら に スキ ャ ナ を 
の リー ジョ ン 追加 し て くだ さい 。 

スキ ャ ナ が HTTPS 経由 (セキ ュ 

EC2-VPC リティ グル ー プ お よび イン ター 

較 … EC2vPc ネッ トゲ ー ト ウェ イ 経 貼 ) で 

A Qualys クラ ウド プラ ッ ト フ ォ ー 


ム と AWS EC2 お よび STS エン 
ド ポ イン ト に 接続 する よう 、 設 定 
する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 中 断 
され る 可能 性 を 最小 限 に する た め 
に 、 セ キュ リティ 評価 か ら 、EC2 
イン スタ ンス タイ プ の T3.nano、 
T2nano、T1.micro、M1.small を 
除外 する こと を 推奨 し て いま す 。 
⑨ | これら を スキ ャ ン す る 場合 は 、 
が Rd Cloud Agent の 使用 を 推奨 し ま 

3 
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"A リン グ 接 続 さ れ た VPC 間 で 複数 の イン スタ ンス を スキ ャ ン す る の に 複数 の スキ ャ ナ が 必要 な 
口 


イン スタ ンス の 数 と スキ ャ ン の 
頻度 に よっ て は 、 リ ー ジ ョ ン 内 の 
ピア リン グ 接 続 さ れ た VPC 間 で 
複数 の イン スタ ンス を スキ ャ ン 
する の に 複数 の スキ ャ ナ が 必要 
に な る 場合 が あり ます 。 要 件 に 応 
じ て ス キャ ナ を 追加 し 、VPC の 境 
界 を 超え て スキ ャ ン が で きる よ 
うに し て くだ さい 、。 


スキ ャ ナ が HTTPS 経由 (セキ ュ 
リティ グル ー プ お よび イン ター 
ネッ トゲ ー ト ウェ イ 経 由 ) で 
Qualys クラ ウド プラ ッ ト フ ォ ー 
ム と AWS EC2 お よび STS エン 
ド ポ イン ト に 接続 する よう 、 設 定 
する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 中 断 さ れる 可能 性 を 最小 限 に する た め に 、 セ キュ リティ 評価 か ら 、EC2 イン ス 
タン スタ イプ の T3.nano、T2.nano、T1.micro、M1.small を 除外 する こと を 推奨 し て いま す 。 こ れ ら を ス 


キャ ン す る 場合 は 、Cloud Agent の 使 / 


1 を 指 


E 反 し ます 。 
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ピア リン グ 接 続 さ れ て いな い VPC 内 の イン スタ ンス を スキ ャ ナ が スキ ャ ン で き な い 場合 
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要件 に 応 レ し て スキ ャ ナ を 追 
加 し 、VPC の 境界 を 超え て 
スキ ャ ン が で きる よう に し 
て くだ さい 。 


スキ ャ ナ が HTTPS 経 
(セキ ュ リ ティ グル ー プ お よ 
び イ ンタ ーネット ゲー ト 
ウェ イ 経 由 ) で Qualys クラ 
ウド プラ ッ ト フ ォ ー ム と 
AWS EC2 お よび STS エン 
ド ポ イン ト に 接続 する よう 、 
設定 する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 
中 断 さ れる 可能 性 を 最小 限 
に する た め に 、 セ キュ リティ 
評価 か ら 、 BC2 イン スタ ンス 
タイ プ の T3.nano、T12.nano、 
T1micro、M1.small を 除外 す 
る こと を 推奨 し て いま す 。 こ 
れ ら を スキ ャ ン す る 場合 は 、 
Cloud Agent の 使用 を 推奨 し 
ます 。 


Securing AWS with Qualys 
AWS EC2 環境 で の スキ ャ ン 


IP アド レス が 重複 し て いる VPC 内 の イン スタ ンス を スキ ャ ン で き な い 場合 

1 つの サブ ネッ ト へ の アク セ 
ス 能 力 が 原 で 、 1 つの ス 
キャ ナ で は 、IP アド レス が 重 
複 し て いる VPC 内 の イン ス 
172.31.0.0/16 タン ス を スキ ャ ン す る こと 


了 較 還 還 還 | が で き ませ ん 。 要 件 に 応じ て 


スキ ャ ナ を 追加 し 、VPC の 境 
ツ 界 を 超え て スキ ャ ン が で き 
る よう に し て くだ さい 。 


注記 : VPC の A と C 間 で 
VPC ピア リン グ を 設定 で き 
る に も か か わら ず 、B と C 間 
の サブ ネッ ト が 重複 し て い 
る た め に 、 ス キャ ナ は ルー ト 
テー ブル に 基づい て サブ 
ネッ ト の 1 つの み に ア クセ 
ス し ます 。 


リー ジョ ン 1 


172.31.0.0716 


ーーーーー ーー ニー ゴーーーーー こ ーー 


ニー ニー ニー ニー オー オー ニーーー~ー 


スキ ャ ナ が HTTPS 経由 (セキ ュ リ ティ グル ー プ お よび イン ター ネッ トゲ ー ト ウェ イ 経 由 ) で Qualys クラ 
ウド プラ ッ ト フ ォ ー ム と AWS EC2 お よび STS エン ド ポ イン ト に 接続 する よう 、 設 定 する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 中 断 さ れる 可能 性 を 最小 限 に する た め に 、 セ キュ リティ 評価 か ら 、EBC2 イン ス 
タン スタ イプ の T3.nano、T2.nano、T1.micro、M1.small を 除外 する こと を 推奨 し て いま す 。 こ れ ら を ス 
キャ ン す る 場合 は 、Cloud Agent の 使用 を 推奨 し ます 。 


34 


Securing AWS with Qualys 
AWS EC2 環境 で の スキ ャ ン 


複数 の リー ジョ ン 内 の ピア リン グ 接 続 さ れ た VPC 間 で 1 つの スキ ャ ナ が 複数 の イン スタ ンス を 
スキ ャ ン す る 場合 


\ 
VPC VPC 


EC2-VPC 
EC2-VPC 


イン スタ ンス 


要件 に 応じ て スキ ャ ナ を 追 
加 し 、VPC の 境界 を 超え て 
リー ジョ ン 間 で スキ ャ ン が 
で きる よう に し て くだ さい 。 


スキ ャ ナ が HTTPS 経由 ( セ 
キュ リティ グル ー プ お よび 
イン ター ネッ トゲ ー ト ウェ 
イ 経 由 ) で Qualys クラ ウド 
プラ ッ ト フ ォ ー ム と AWS 
EC2 お よび STS エン ド ボ ポ 
イン ト に 接続 する よう 、 設 定 
する 必要 が あり ます 。 


AWS で は 、 お 使い の 環境 が 
中 断 さ れる 可能 性 を 最小 限 
に する た め に 、 セ キュ リティ 
『 価 か ら 、BC2 イン スタ ンス 
タイ プ の T3.nano、T2.nano、 
T1.micro、M1.small を 除外 す 
る こと を 推奨 し て いま す 。 こ 
れ ら を スキ ャ ン す る 場合 は 、 
Cloud Agent の 使用 を 推奨 し 
ます 。 


/ 


届 


Virtual Scanner 
Appliance A 
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っ て 接続 され た リー ジョ ン 内 の VPC 間 で 1 つの スキ ャ ナ が 複数 の イン スタ ンス を 


ネッ トワ ー ク トラ ン 
ジッ ト ハ ブ に より 、 仮 
想 プ ライ ベー トク ラウ 
ド (VPC) 間 の 相互 接 
続 が 可能 に な る た め 、 
トラ ンジ ッ ト ゲ ー ト 
ウェ イ に よっ て 接続 さ 
れ た リー ジョ ン 内 の 
VPC 間 で 1 つの ス 
キャ ナ を 使用 し て 複数 
の イン スタ ンス を ス 
キャ ン で きま す 。 


スキ ャ ナ を HTTPS 経 
由 ( セ キュリ ティ グ 
ルー プ お よび イン ター 
ネッ トゲ ー ト ウェ イ 経 
由 ) で Qualys クラ ウド 
プラ ッ ト フ ォ ー ム お よ 
び AWS EC2 お よび 
STS エン ド ポ イン ト に 
接続 する よう 設定 する 
必要 が あり ます 。 


> 


AWS で は 、 お 使い の 環境 が 中 断 さ れる 可能 性 を 最小 限 に する た め に 、 セ キュ リティ 評価 か ら 、EC2 イン ス 
タン スタ イプ の T3.nano、T2.nano、T1.micro、M1.small を 除外 する こと を 推奨 し て いま す 。 こ れ ら を ス 
キャ ン す る 場合 は 、Cloud Agent の 使用 を 推奨 し ます 。 
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クラ ウド イン スタ ンス の スキ ャ ン に オン プレ ミス の スキ ャ ナ が 推奨 され な い 場 合 


オン プレ ミス 


スキ ャ ナ が HTTPS 経 | 
(セキ ュ リ ティ グル ー プ お 
よび イン ター ネッ トゲ ー 
ウェ イ 経 由 ) で Qualys ク 
ラウ ド プ ラッ ト フ ォ ー ム と 
AWS EC2 お よび STS エ 
ンド ポイ ント に 接続 する よ 
う 、 設 定 する 必要 が あり ま 
す 。 


オン プレ ミス の ネッ トワ ー 
ク に ある スキ ャ ナ は 、 ク ラ 
ウド 対応 で は な く 、 ス キャ 
ン の ワー ク フ ロ ー が 従来 型 
で ある た め 、 ク ラウ ドイ ン 
スタ ンス の スキ ャ ン に は 使 
1 し な いで くだ さい 。 


AWS の 侵入 テス トル ー ル に 従っ て 、 イ ンス タン スタ イプ の t2.micro と 12.nano は スキ ャ ン さ れ ま せん 。 こ 


れ ら を スキ ャ ン す る 場合 は 、Cloud Agent の 使 


1 を 推奨 し ます 。 
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セン サ の 配置 


Qualys クラ ウド プラ ッ ト フ ォ ー ム の 中 核 的 な サー ビス で ある Qualys セン サ を 使用 する と 、 グ ロー バル な 企 
業 全体 に 対し て セキ ュ リ ティ を 容易 PCI 元 管理 
が 可能 で あり 、 自 己 更新 機能 を 備え て いま す 。 セ ン サ に より 、 デ ー タ が 収集 され 、Qualys クラ ウド プラ ッ 
フォ ー ム に 自動 的 に 送信 され ます 。Qualys 0 ト フ ォ ー ム に は 、 脅 威 を 特定 し て 脆弱 性 を 除 
去 す る た め に 、 情 報 の 分 析 と 相関 付け を 継続 的 に 行う 計算 処理 能力 が 備わっ て いま す 。AWS の 場合 、 セ モン 
サ は AMI お よび 軽量 ニー ジェ ント 形式 の 仮想 アプ ライ アン ス で す 。 


スキ ャ ン を 行う 前 に 、 セ ン サ を 配置 する 必要 が あり ます 。 設定 に 応じ て 、 事前 認証 済み の Scanner Appliance 
を 配置 する こと i Cloud Agent を 配置 する こと も で きま す 。 この よう な セン サ の 配置 に 関す る 手 
順に つい て 、 詳 し く 説 明 し て いき ます 。 


事前 認証 済み Virtual Scanner Appliance の 配置 
Qualys Cloud Agent の 配置 


事前 認証 済み Virtual Scanner Appliance の 配置 


事前 認証 済み スキ ャ ナ の 配置 に 関す る 実際 の 手順 に 進む 前 に 、 ラ イセ ンス / コス ト 面 と 、 配 置 の 推奨 事項 に 
つい て 説明 し ます 。 


コス ト と ライ セン ス 


Qualys Virtual Scanner Appliance は 、Amazon Machine Image (AMI) と し て AWS Marketplace か ら 入 手 
可能 で 、Amazon EC2-Classic お よび EC2-VPC で の 起動 に 対応 し て いま す 。 


以下 の 2 点 を 考慮 する 必要 が あり ます 。 


- 仮想 スキ ャ ナラ イセ ンス の サブ スク リプ ショ ン に 対す る Qualys の コス ト 


- アプ ライ アン ス を EC2 イン スタ ンス と し て 実行 する た め の コ ン ピ ュ ー テ ィング リソー ス に 対す る AWS 
の コス ト 


Qualys の コス ト 

実行 する Virtual Scanner Appliance の 各 イ ンス タン ス に 対し て Qualys ライ セン ス を 取得 する 必要 が あり ま 
す 。 こ の ライ セン ス は 、AWS で は な く Qualys か ら 取 得 さ れ ま す 。 そ の た め 、 当 社 の Scanner Appliance 
は 、AWS Marketplace に BYOL (つま り 、“ 自分 の ライ セン ス を 使用 する ”) モデ ル と し て 掲載 され て いま 
す 。Qualys クラ ウド プラ ッ ト フ ォ ー ム の UI で 定義 する Qualys Virtual Scanner Appliance の 各 プ ロフ ァ イ 
ル で 、Virtual Scanner Appliance の ライ セン ス を 1 つ 使 用 し ます 。Qualys の サブ プス クリ プシ ョ ン な か ら Virtual 
Scanner Appliance の プロ ファ イル を 削除 する と 、 そ の ライ セン ス は 解放 され て 、 す ぐに 再 利用 で きる よう 
に な り ま す 。 


料金 の 見 積 り また は 評価 の 依頼 に つい て は 、Qualys の テク ニカ ル ア カ ウン トマ ネー ジャ また は Qualys 代理 
店 まで お 問い 合わ せく だ さい 。 


AWS の コス ト 


Virtual Scanner Appliance の 各 イ ンス タン ス は 、AWS アカ ウン ト の 1 つ で 開始 され ます 。 ア プラ イア ンス 
の 実行 に 対す る AWS の コス ト の 支払 い は 、 お 客 様 の ご 負担 に か なり ます 。 
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この コス ト に は 以下 が 含ま れ ま す 。 


- イ ンス タン ス の タイ プ に 基づい た 計算 処理 能 
- スト レー ジ 
- デー タ の 双方 向 の 転送 


イン スタ ンス を 実行 する 場合 、 計 算 処 理 能 力 (CPU や RAM な ど ) に か か る 料金 が 、 大 部 分 を 占め る こと 
に な り ま す 。Scanner Appliance は 常時 実行 する 必要 は な いこ と に 留意 し て く だ さい 。 イン スタ ンス が 停止 
し て いる 時 間 に 発生 する の は 、 ギ ガバ イ a トレ ー ジ 料金 の み に な り ま す 。 た だ し 、 ス 
キャ ナ は ソフ トウ ェ ア と シグ ニチ ャ を 最新 の 状態 に 保つ た め に 、 週 に 数 時 間 は 実行 する 必要 が あり ます 。 


スキ ャ ナ 配 置 の 推奨 事項 


ネッ トワ ー ク トポロジ と Scanner Applance を ホス ト す る EC2 イン スタ ンス の サイ ズ に 基づく スキ ャ ナ の 
配置 に つい て の 推奨 事項 を 以下 に 示 し ます 。 


スキ ャ ナ を ホス ト す る イン スタ ンス の サイ ズ 

Qualys Virtual Scanner Appliance を ホス ト す る 場合 に Qualys が 推奨 する 最大 限 は 、16 CPU お よび 16 GB 
RAM で す 。 ま た 、Al イン スタ ンス タイ プ へ の スキ ャ ナ 配 置 は す サポート され て いま せん 。 ス キャ ン さ れる 
EC2 イン スタ ンス の 数 と 、 イ ンス タン ス が スキ ャ ン さ れる 回 数 に 応じ て 、 最大 16 CPU お よび 16 GB RAM 
まで スケ ー ル アッ プ す る こと が で きま す 。 


スキ ャ ン 対 象 の 制限 


イン スタ ンス タイ プ tl1.micro、ml.small、12.nano を 使用 する 対象 に 対し て スキ ャ ン は 開始 で き な い の で 注 
意 し て くだ さい 。 


ネッ トワ ー ク トポロジ に 基づい た スキ ャ ナ 配 置 

Amazon Virtual Private Cloud (Amazon VPC) は 、AWS の 顧客 に AWS クラ ウド 上 で ネッ トワ ー ク を 設計 
お よび 実装 する た め の 多 く の オ プシ ョ ン を 提供 する 包括 的 な 仮想 ネッ ト し て いま す 。 
Amazon VPC を 使用 する と 、 顧 客 は 自分 の AWS リソー ス を ホス ト す る た め に 論理 的 に 分 離さ れ た 仮想 ネッ 
トワ ー ク を 用 意 す る こと が で きま す 。AWS ネッ トワ ー A スキ ャ ナ の 配置 する 方 法 
に は いく つか の 推奨 事項 が あり ます 。 


に 3 


- リー ジョ ン 内 に ピア リン グ 接 続 さ れ て いる VPC が な い 場 合 - Qualys で は VPC が ピア リン グ 接 続 さ れ て 
いな い 場 合 、 各 リー ジョ ン で VPC ご と に 1 つ 以 上 の スキ ャ ナ を 設定 する こと を お 勧め し ます 。 


- リー ジョ ン 内 に ピア リン グ 接 続 さ れ た VPC が ある 場合 - リー ジョ ン 内 の 他 の VPC に ピア リン グ 接 続 され 
A i he ne 
ます 。 


a L 本 
VPC VPC VPc 


| 1921680016 1 10.2.0.0716 | 1 oo 
mazon の リー ジョ ン ; ジョ ン 
ono 欠場 境 Amazon の リー ジョ 


' 本 番 環境 


VPC 
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- リー ジョ ン を 横断 する VPC の 場合 - VPN の ある VPC また は 他 の リー ジョ ン へ の 中 継 VPC に 1 つ 以 上 
の スキ ャ ナ を 設定 で きま す 。 


イン スタ ンス の スナ ッ プ ショ ッ ト / ク ロー ニン グ は 不可 

新しい イン スタ ンス を 作成 する た め に 、 仮想 スキ ャ ナイ ンス タン ス の スナ ッ プ ショ ッ ト ま た は クロ ー ニ ング 
を 行う こと は 禁止 され て いま す 。 新しい イ ンス タン ス は スキ ャ ナ と し て 機能 し ませ ん 。 す べ て の 設定 内 容 と 
プラ ッ ト フ ォ ー ム の 登録 情報 が 失わ れ ま す 。 こ れ は 、 元 に な っ た スキ ャ ナ の 障害 や エラ ー に つなが る 可能 性 
し あり ます 。 


イン スタ ンス の 移動 / エ クス ポー ト は で きま せん 

仮想 化 プ ラッ ト フ ォ ー ム (HyperV、VMware、XenServer) で 登録 済み の スキ ャ ナイ ンス タン ス を AWS ク 
ラウ ド プ ラッ ト フ ォ ー ム へ 移動 また は エク スポ ー ト する こと は 、 ど の よう な ファ イル 形式 で あっ て も 禁止 さ 
れ て いま す 。 こ れ に より スキ ャ ナ の 機能 が 破損 し 、 ス キャ ナ の すべ て の 設定 が 永久 に 失わ れ ま す 。 


必要 事項 
アカ ウン ト で 「Virtual Scanner」 オプション が 有効 に I NR この オプ ショ ン を 有効 に 
する に は 、Qualys の サポ ー ト また は テク ニカ ル ア カ ウン トマ ネー ジャ に お 問い 合わ せく だ さい 。 


IManage virtual scanner appliances」 の パー ミッ ショ ン を 持つ マネ ー ジ ャ また は サブ ユー ザ で ある 必要 が あ 
り ま す 。 こ の パー ミッ ショ ン は ユニ ニット マネ ー ジ ャ に 付与 する こと も で きま す 。 ス キャ ナ に この パー ミッ 
ショ ン を 付与 で きる よう に サブ プス クリ プシ ョ ン を 設定 する こと が で きま す 。 


RR 
スキ ャ ナ の 配置 に は 、AWS の 設定 に 加え て Qualys の 設定 も 伴い ます 。 
考慮 事項 


以下 の 機能 は サポ ー ト され て いな いた め 、 す べ て の クラ ウド (プラ イベ ー ト お よび パブ リッ ク ) プラ ッ ト 
フォ ー ム で 無効 に な っ て いま す 。 


- WAN/ 分 割 ネ ットワーク 設定 - 分 割 ネ ットワーク 設定 の た め の 「WAN Interface」 オプ ショ ン は 、 ス キャ 
ナ の UI/ コ ユン ソー ル か ら 使 用 で きま せん 。 ク ラウ ド UI から の LAN/ シン グル ネッ トワ ー ク 設定 の み が サ ポー 
ト さ れ て いま す 。 こ れ は スキ ャ ン と Qualys サー バ へ の 接続 の 両方 に 使用 され ます 。 


- ネイ ティ ブ VLAN - ネイ ティ ブ VLAN を 設定 する た め の 「VLAN on LAN」 オ プシ ョ ン は 、 ス キャ ナ の 
UI/ コン ソー ル か ら 使 用 で きま せん 。 


- 静 的 VLAN (PV4 お よび IPV6) - 静 的 VLAN を 設定 する た め の 「VLAN」 オ プシ ョ ン は 、Qualys UI か 
ら 使用 で きま せん 。 


- 静 的 ルー ト QPV4 お よび IPV6) - “ 静 的 ルー ト ” を 設定 する た め の オ プシ ョ ン は 、Qualys UI か ら 使用 で 
きま せん 。 


“TPv6 on LAN ” - “ IPv6 on LAN ” を 設定 する た め の オ プシ ョ ン は 、Qualys UI か ら 使用 で きま せん 。 
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Qualys の 設定 
Virtual Appliance の 設定 - 個人 設定 コー ド の 取得 


セン サ の 配置 


Qualys アプ リケーション ピッ カー か ら VM/VMDR また は PC を 選択 し ます 。「Scans」 一 「Appliances」 に 


移動 し 、「New」 つ 「Virtual Scanner Appliance」 を 選択 し ます 。 
VMDR マ 


Dashboard Vulnerabilities Prioritization Scans Reports 


© Scans seans ET Schedules Appliances 


| new v | [Search 


Scanner Appliance 


Replace Scanner Appli、 janner 70462414064464 


。 Personalization Code 


Download.… 
が の” に ゴマ で IODaTDefault "ECZTestScanner 70457473368745 
Network 


IT have My Image」 を 選択 し 、「Continue」 を クリ ッ ク し ます 。 


Add New Virtual Scanner x 
[a] 


You have 2 virtual scanner license(s) available. Choose one of the options below to get started 


Get Started Download Image 1Have My Image 
Only 


Help me to select the right I want to download the Tm ready to complete the 
virtual image and confiqure wirtual image now and 


configuration of my scanner. 
my scanner configure my scanner later 人 


名 前 を 入力 し て 、「Next」 を クリ ッ ク し ます 。 
Name Your Virtual Scanner Po 


Virtual Scanner Name 


My-Scanner 
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サブ ニ ユーザ の 場合 は 、 マ ネー ジャ ユー ザ が サブ ユー ザ の ビジ ネス ユニ ッ ト に 割り 当て られ て いる アセ ッ ト グ 
ルー プ を 選択 する 必要 が あり ます 。 ア セッ トグル ー プ が 表示 され な い 場 合 は 、 ビ ジネス ユニ ッ ト の マネ ー 
ジャ に アセ ッ ト グ ルー プ (「Alll グル ー プ 以外 の ) を 割り 当て る よう 依頼 し て くだ さい 。 


Add New Virtual Scanner し 1 


Name Your Virtual Scanner 較 


Virtual Scanner Name も 
AWS-scanner 


Choose an Asset Group 
Data Center 2 


画面 に 表示 され る 指示 に 従っ て 、 仮 想 ス キャ ナ を 設定 し ます 。「Next」 を クリ ッ ク し ます 。 


Configure Your Virtual Scanner Locally kel 


These are steps that you need to complete on your system, outside the Qualys Cloud Platform. 


Deploy your virtual scanner 
Start the virtualization platform. 


Launch the Qualys virtual scanner machine. Once you see the console you are 
ready to proceed 


Qualys virtual scanner machine console 


回 人 設定 コー ド を 取得 し ます 。 こ の コー ド は AMI イン スタ ンス を 開始 する の に 必要 に な り ま す 。 


Activate Your Virtual Scanner 


Configure your scanner and activate it using the personalization code below. For more 
help, review the configuration quide for step-by-step instructions. 


Virtual Scanner Name 


My-Scanner 
Personalization Code 
届 まま 1 まま: ) Need help configuring your virtual scanner? 


See How To steps at the Qualys Communiy 


Enter your personalization code 
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AWS の 設定 
Amazon AWS で の AMI イン スタ ンス の 開始 


この ステ ッ プ で は 、Amazon AWS Marketplace か ら AMI イン スタ ンス を 開始 する 方 法 に つい て 説明 し ま 
す 。 AWS Management Console を 使用 し て AMI イン スタ ンス を 開始 する こ と も で きま す (コン ソー ル に サ 
イン イン 後 、「Services」 つ 「EC2」 に 移動 し 、 下 記 に 従っ て AMI の 設定 を 入力 し ます )。 


注記 : AWS マー ケッ ト プ レ イス で 入手 で きる イメ ー ジ 、 ま た は ダウ ン ロ ー ド 可能 な AWS 固有 の イメ ー ジ 
を 入手 する た め に Qualys が 提供 する 署名 付き URL で 入手 で きる イメ ー ジ の み を 使用 し て いる こと を 確認 
し て くだ さい 。Qualys UI か ら ダ ウン ロー ド し た イメ ー ジ を AWS で 使用 する こと は 推奨 し て いま せん 。 


1) AWS Marketplace で Qualys Virtual Scanner Appliance の ペー ジ に 移動 し 、AWS アカ ウン ト に ログ イン 
し ます 。 


AWS Marketplace に ある Qualys Virtual Scanner Appliance (事前 認証 済み スキ ャ ン ) HVM 


View Categories > Sell in AWS Marketplace Amazon Web Services Home Help 


Qualys Virtual Scanner Appliance (Pre-Authorized 
Scanning) HVM 


。 Sold by: Qualys, Inc. | See product video [ ダ 
OUALYS 


The Qualys Virtual Scanner Appliance extends the reach of the Qualys Cloud Platform's integrated 
suite of security and compliance SaaS applications into the internal networks of both Amazon VPC 
and classic EC2-Classic. IMPORTANT NOTE: This AMI should not be used with 1-Click Launch, as 
additional configuration input is required when creating a new instance. This "Pre-Authorized 
Scanning" version of the virtual scanner is for use with the "EC2 Scanning" workflow within the 
Qualys Vulnerability Management solution. In collaboration with Amazon, Qualys has built 
safeguards.… Read more 


Customer Rating 護 支 衣 | マ (0 Customer Reviews) 


MT wil have an opportunity 


AWS Marketplace に は 、2 つの Virtual Scanner Appliance (事前 認証 済み の Scanner Appliance と 標準 の 
Scanner が 掲載 され て いま す 。 標 準 の アプ ライ アン ス は 、IP ベー ス の スキ ャ ン を 実行 し ます 。 
Qualys は 、 事 前 認証 済み の Scanner Appliance の 使用 を 推奨 し て いま す 。 事 前 認証 済み の Scanner 
Appliance を 使用 で き な い 場合 は 、 標 準 の Scanner Appliance を 選択 する 前 に Qualys の サポ ー ト に お 問い 
合わ せく だ さい 。 


2) リー ジョ ン で Virtual Scanner AMI を 開始 し ます 。 
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ド に Qualys の ユー ザイ ンタ 


フェ ー ス で 取得 し た 個人 設定 コー ド を 入力 し 、 オ プシ ョ ン で プロ キシ サー バ を 入力 し ます (使用 し て いる 場 


合 )。 


AWS ~ Services マ 


Edie Schamp マ 


N. Virginia マ Support マ 


1.Choose AMI 2.Choose Instance Type 3.Configure Instance 4.Add Storage 5. Tag Instance 6. Configure Security Group 7. Review 


Step 3: Configure Instance Details 
Enable termination protection (i Protect against accidental termination 


Monitoring (i) Enable CloudWatch detailed monitoring 
Additional charges apply 


Tenancy (i Shared - Run a shared hardware instance 4 
Additional chardeS will apply for dedicated tenancy 


L Network interfaces ‘i 


y Advanced Details 


Userdata (i 9 As text © As file Input is already base64 encoded 


> PERSCODE=123456789101234 


Cancel Previous Review and Launch Next: Add Storage 


@ Feedback (3 English 


Privacy Policy Terms of Use 


個人 設定 コー ド - PERSCODE= に 続け て 、Qualys で 取得 し た 個人 設定 コー ド を 入力 し ます 。 


プロ キシ サー バ (オプ ショ ン ) - PROXY_URL に 続け て 、 個人 設定 コー ド と は 別 の 行 に プロ キシ サー バ の 情 
報 を 入力 し ます 。 プ ロキ シ サ ー バ は 、 ス キャ ナ が Qualys クラ ウド プラ ッ ト フ ォ ー ム に 直接 接続 され て いな 


い 場 合 に 使用 され ます 。 


プロ キシ 情報 を username:password@proxyhost:port の 形式 で 入力 し ます 。 


ドメイン ユー ザ が ある 場合 の 形式 は 、domainusername:password⑦proxyhost:port に な り ま す 。 


認証 を 使用 し な い 場 合 は 、proxyhost:port の 形式 に な り ま す 


ここ で 、proxyhost は IPV4 アデ ド レス また は プロ キシ サー バ の FQDN、port は プロ キシ サー バ を 実行 し て い 


る ポー ト 番 号 に な り ま す 。 
例 : 


PERSCODE=12345678901234 
PROXY URL=]doe : abc12345@10.40.1.123:3128 


プロ キシ サー バ を 使用 する 場合 は 、Qualys UI で Amazon EC2 API の プロ キ 


< 


シ サ ー バ 設定 が 行わ 


れ て いる こと を 確認 し ます 。 詳細 に つい て は 、「Qualys UI で の Amazon EC2 API プロ キシ 設定 


の 定義 」 を 参照 し て くだ さい 、。 


開始 後 Virtual Appliance は Qualys クラ ウド プラ ッ ト フ ォ ー ム に 接続 
この ステ ッ プ で は 、Virtual Scanner Appliance が Qualys アカ ウン ト に 登録 さ 】 


ます 。。 また 、 アプ ライ アン 


ス に よっ て 最新 の ソフ トウ ェ ア 更 新 が た だ ち に ダウ ン ロ ー ド され 、 ス キャ ン の 準備 が 整い ます 。 
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Virtual Scanner Appliance の セキ ュ リ ティ グル ー プ の 設定 
Scanner Appliance に 割り 当て られ た セキ ュ リ ティ グル ー プ に 以下 の アウ トバ ウン ドル ー ル を 設定 し ます 。 


- Qualys クラ ウド プラ ッ ト フ ォ ー ム へ の 接続 性 


Scanner Appliance に は 、Qualys クラ ウド プ ブ プラットフォーム へ の 接続 性 が 必要 で す 。Scanner Appliance が 
イン ター ネッ ト に 直接 接続 し て いる 場合 は 、 ア ウト バウ ンド ルー ル に よっ て ポー ト 443 で Qualys セキ ュ ア 
オペ レー ショ ン セ ンタ ー (SOC) の IP ア ドレ ス へ の アク セス が 許可 され て いる こと を 確認 し ます 。SOC IP 
アド レス の 範囲 は 、Qualys ポー タル に ログ イン 後 、「 ヘ ルプ 」 一 「 一 般 情報 」 オプション を 選択 する と 取得 
で きま す 。 プ ロキ シ サ ー バ を 使用 し て いる 場合 は 、 ア ウト バウ ンド ルー ル で プロ キシ サー バ と の 通信 が 許 
され て お り 、 プ ロキ シ サ ー バ が Qualys クラ ウド プラ ッ ト フ ォ ー ム と 通信 で きる こと を 確認 し ます 。 


- Amazon EC2 API エン ド ポ イン ト へ の 接続 性 


Scanner Appliance は 、Amazon EC2 お よび STS API エン ド ポ イン ト に 接続 する 必要 が あり ます 。 認証 を 
受け る た め に 、 ス キャ ナ は STS エン ド ポ イン ト に アク セス し て 、EC2 API 呼び 出し を 実行 する た め の ロ ー 
ル と トー クン を 取得 し ます 。 EC2 お よび STS API へ の 接続 は 、 Qualys クラ ウド プラ ッ ト フ ォ ー ム と の アプ 
ライ アン ス 管 理 通信 用 に プロ キシ サー バ を 設定 し て いる 場合 で も 、 プ ロキ シ サ ー バ 経由 で ルー ティ ング され 
る こと は あり ませ ん (上 記 参 照 )。Scanner Appliance は 、EC2 お よび STS API に 直接 接続 する か 、 完 全 透 
過 プ ロキ シ ま た は フィ ル タ リ ング テク ノロ ジ を 介 し て 接続 する 必要 が あり ます 。 


Scanner Appliance が イン ター ネッ ト に 直接 接続 し て いる 場合 は 、 ア ウト バウ ンド ルー ル に よっ て ポー ト 
443 で Amazon EC2 お よび STS API エン ド ポ イン ト へ の アク セス が 許可 され て いる こと を 確認 し ます 。 
Qualys UI で Amazon EC2 API の プロ キシ サー バ を 設定 し て いる 場合 は 、 ア ウト バウ ンド ルー ル で プロ キ 
シ サ ー バ と の 通信 が 許可 され て お り 、 プ ロキ シ サ ー バ が Amazon EC2 API エン ド ボ ポイ ント に 接続 で きる こ 
と を 確認 し ます 。 


Scanner Appliance に は 、Amazon EC2 API エ ンド ポイ ント へ の 接続 性 が 必要 で す 。 ア プラ イア ンス が 
Amazon EC2 API エン ド ポ イン ト に 接続 で き な い 場合 、BC2 を スキ ャ ン す る た め に 開始 し た すべ て の ジョ 
ブ は 失敗 し ます 。“ No Hosts alive” エ ラー の 可能 性 に より 、 ア プラ イア ンス が 対象 イン スタ ンス ID の リス 
ト を IP アド レス に 解決 する こと が で き な い た め 、 ス キャ ン は EC2 の 対象 イン スタ ンス を スキ ャ ン す る こと 
な く 終 了 し ます 。 


リー ジョ ン お よび エン ド ポ イン ト の 詳細 に つい て は 、 次 の サイ ト を 参照 し て くだ さい 。 
http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2 region 


- 対象 イン スタ ンス へ の 接続 性 


スキ ャ ン を 実行 する に は 、 ス キャ ナ が すべ て の 対象 イン スタ ンス に 接続 で きる 必要 が あり ます 。 ス キャ ナ に 
よっ て スキ ャ ン さ れる EC2 イン スタ ンス の すべ て の ポー ト と サブ ネッ ト へ の アク セス を 許可 する よう アウ 
トバ ウン ドル ー ル を 設定 する こと を お 勧め し ます 。 


Qualys プラ イベ ー ト クラ ウド プラ ッ ト フ ォ ー ム の サポ ー 


EC2 イン スタ ンス の スキ ャ ン に Qualys プラ イベ ー ト クラ ウド プラ ッ ト フ ォ ー ム (PCP) を 使用 し て いる 場 
合 は 、AWS 用 Virtual Scanner Appliance AMI の 生成 に つい て Qualys の 営業 担当 (TAM) また は サポ ー 
ト に お 問い 合わ せく だ さい 。 そ の 際 、 次 の 情報 を ご 提供 くだ さい 。 


- Scanner Appliance を 配置 する AWS リー ジョ ン 
- スキ ャ ナ の 配置 に 使用 する AWS アカ ウン ト 


セキ ュ リ ティ グル ー プ で 、Scanner Appliance か ら Qualys PCP の ポー ト 443 へ の 通信 が 許可 され て いる こ 
と を 確認 し ます 。Qualys PCP の IP アデ ド レス を サポ ー ト に 提供 する 必要 が ある 場合 が あり ます 。 
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Qualys Cloud Agent の 配置 


当社 の 革新 的 な Qualys Cloud Agent プラ ッ ト フ ォ ー ム を 使用 する と 、AWS イン フラ スト ラク チャ の セキ ュ 
リティ と コン プラ イア ンス を 継続 的 に 評価 する 軽量 の Cloud Agent を 導入 する こと が で きま す 。 


Cloud Agent の 機能 
- ポー ト 443 を 使用 し て Qualys クラ ウド プラ ッ ト フ ォ ー ム と 通信 し 、 プ ロキ シ 設 定 を サポ ー ト し ます 。 


- EC2 イン スタ ンス へ の 直接 配置 、 ま た は AMI へ の 組み 込み を 行い ます 。 ク ラウ ド バ ー ス ト 揮 発 性 イン 
スタ ンス も 問題 な く 動 作 し ます 。 


- Linux お よび Windows OS の 各 バ ー ジ ョ ン で の スキ ャ ン を サポ ー ト し ます 。 
- EC2 イン スタ ンス の OS 脆弱 性 の スキ ャ ン を サポ ー ト し ます 。 


操作 手順 
Cloud Agent (CA) アプ リケーション に 移動 し て 、Cloud Agent を イン スト ー ル し ます 。 


⑨ Quolys. Enterprise 


Cloud Aqent マ 


ダッ シュ ボー ド エー ジェ ント 管理 


エー ジェ ント 管理 ジェ > アク ティ ブ 化 キ 設定 プロ ファ イル 


保存 済み の 検索 < 


New Activation Key Turn help tips: On | 01 


新しい エー ジェ ント の イン スト ー ル | | Aaivation Jobs 
Create a new activation key 


新しい エー ジェ ント を イン スト ー ル し て An activation key is used to install aqents. This provides a way to qroup agents and better manaqe your account. 日 


イン スタ ンス に 直接 配置 する か this key is unlimited - it allows you to add any number of aqents at any time 
また は AMI に 組み 込み ます Title AWSEC2AGENT 

キー を 割り 当て て アプ リケーション Select | Create 
(VM、PC な ど ) を アク ティ ブ 化 し ます | EC2_EAST 1 AWS_EC2 


Provision Key for these applications 


Vulnerability Management Policy Compliance 
の 10 Licenses Remaininq の PC 10 Licenses Remaining 


推奨 リツ ー ス 


Oualyo グラ WIR グ ラット アク ォ ョ ム 
Qualys Cloud Agent 操作 ガイ ド 
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アセ ッ ト の スキ ャ ン 


ネッ トワ ー ク を スキ ャ ン す る 手順 に つい て 説明 し ます 。 ス キャ ン を 開始 する 前 に 、 い くつ か の チェ ッ ク ボ ポイ 
ント / 事前 設定 を 確認 する 必要 が あり ます 。 


EC2 スキ ャ ン の チェ ッ ク リ スト 
E 順 を 


Qualys VM/VMDR また は Qualys PC に 移動 し ます 。 ス キャ ン を 始め る 前 に 以下 の ヨ 
めし ます 。 


- アプ ライ アン ス の ステ ー タ ス の チェ ッ ク 


N 


| 


と を お 和 勧 


「Y 


Wr 


- Qualys UI で の Amazon EC2 API プロ キシ 設定 の 定義 (プロ キシ サー バ を 定義 し て いる 場合 の み ) 


き 丸 
le 


- EC2 アセ ッ ト が アク ティ ブ 化 され て いる こと の 確 


A 


= スキ ャ ン す る EC2 イン スタ ンス に 対す る セキ ュ リ ティ グル ー プ の 設 


uu 


人 


- OS 認 


アプ ライ アン ス の ステ ー タ ス の チェ ッ ク 
「Scans」 つ 「Appliances」 に 移動 し 、 新 し い Scanner Appliance が Qualys クラ ウ 
続 さ れ て いる こと を 確認 し ます 。 纏 は 、 ア プラ イア ンス が 接続 され 、 ス キャ ン の \ 


“プラ ッ ト フ ォ ー ム に 接 
届 備 が 整っ て いる こと を 


表し ます 。 
VMDR マ 嘱 還 Peey 
Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets KnowledgeBase Users 
(③) Scans Scans Maps Schedules Appliances Option Profiles Authentication Search Lists に Cail 
New マ || search 1-5of5 寺 て | 
Network Appliance a Personalization Code LANIP WANIP Polling Scanner Signatures Last Update 
J Global Default EC2Scanner 70462414064464 10.902.44 一 180 seconds 11.6.51-1 2.4.863-2 0471472020 at 03:25:10 PM (GMT+( 
Network 
4 Global Default EC2TestScanner 70457473368745 10.90.3.32 180 seconds 11.6.51-1 2.4.863-2 041472020 at 04:42:07 PM (GMT+( 
Nehnrk 


Qualys UI で の Amazon EC2 API プロ キシ 設定 の 定義 
この ステ ッ プ は 、 事 前 認証 済み スキ ャ ナ の 配置 中 に 、「User Data」 フィー ルド に プロ キシ サー バ を 設定 し た 
場合 に の み 必 要 に な り ま す 。 こ の ステ ッ プ を 実行 し な いと 、EC2 スキ ャ ン は 動作 し ませ ん 。 


「Scans」 つ 「Appliances」 に 移動 し 、 EC2 の Virtual Scanner Appliance を 編集 し ます 。「Proxy Settings」 タ 
ブ に 移動 し 、「Amazon EC2 API Proxy」 チ ェ ッ クボ ックス を 選択 し て プロ キシ サー バ の 設定 (ホス ト 名 /IP 
アド レス 、 ポ ー ト 、 プ ロキ シ の 資格 情報 (プロ キシ サー バ に よっ て 求め られ る 場合 ) な ど ) を 入力 し ます 。 


役立つ ヒン ト - ここ に 入力 し た 設 
続 で きる よう に な り ま す 。Virtual Appliance は 、 指定 し た プロ キシ サ 


定 に よっ て 、Virtual Appliance が Amazon EC2 API エン ド ボ ポイ ント に 接 
バ を 経由 し て AWS ゲー トウ ェ イ へ 


の API 呼び 出し を 行い ます 。 例 えば 、DescribeInstance API を 呼び 日 


タン ス の 現在 の IP アド レス を 取得 し ます 。 
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HH し て 、 ス キャ ン 対 象 の 各 EC2 イン ス 
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Scanner Appliance の プロ キシ 設定 の 例 

すべ て の プロ キシ 設 定 は 、Scanner Appliance 情報 ベー ジ に 表示 され ます 。「Scans」 つ 「Appliances」 に 移 
動 し て 、 ア プラ イア ンス に マウ スポ イン タ を 合わ せ 、「Quick Actions」 メニュー から 「Info」 を 選択 し ます 。 
「Edit」 を クリ ッ ク し て 、Amazon EC2 API プロ キシ の 設定 を 変更 し ます 。 


「Scanner Proxy」 項 に は 、AWS AMI 設定 に 配置 中 に 、 現 在 定義 され て いる プロ キシ サー バ の 情報 が (資格 
情報 は *** で マス ク さ れ て ) 表示 され ます 。 


Edit Scanner Appliance LaunchHelp 図 x 


General Information Proxy Settings 


に Scanner Proxy 


Allow the scanner to connect to Qualys Platform through a proxy server Proxy details providedin 
Proxy Settings > AWS. 


Comments Proxy Server 10.90.2.28 AWS に 定義 され て いる 


Port 3129 プロ キシ 情報 の 表示 
(Qualys で は 編集 で き な い ) 


Authentication 


図 Amazon EC2 API Proxy 
Allow the scanner to connect to your Amazon EC2 API endpoints through a proxy server. 


Tell us about your proxy server. Enter he hostname or IP address (or both) and the port number The 
proXY username and password are required when the proxy Serverrequires authentication, 


Protocol HTTP 


Proxy Server* Enterthe hostname orIP address (or both) 
Hostname: 


IP Address: 

Amazon EC2 10.90.2.28 

API 用 に プロ キシ | por 
情報 を 追加 


3129 


Authentication Username 
scanner 
Password: 
CO 


Confirm PassWord: 


EC2 リー ジョ ン の エン ド ポ イン ト は 、 プ ロキ シ 経 由 で アク セス 可能 に する 必要 が あり ます 。 


エン ド ポ イン ト の URL は 、http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2 region で 確認 す 
る こと が で きま す 。 


48 


Securing AWS with Qualys 
アセ ッ ト の スキ ャ ン 


EC2 アセ ッ ト が アク ティ ブ 化 され て いる こと の 確認 
「Assets」 つ 「Host Assets」 に 移動 する か 、Qualys AssetView (AV) で 、EC2 ホス ト が アク ティ ブ 化 され 
て いる こと を 確認 し ます 。 ア クティ ブ 化 され た アセ モッ ト は 、BEC2 の 追跡 方 法 に 割り 当て られ ます 。 


VMDR マ 回 Hempy Logout 


Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets KnowledgeBase Users 


= 三 Assets Asset Groups Host Assets Asset Search Virtual Hosts Domains Networks Applie > 


New av | | search | [wes > "Display Comments | | |1-500 of 607 DQ 券 v 
Network : Global Default Network 
| Info Tracking IP NetBIOS OS ェ 
© 10.90.1.29 NEWSUSE-5 Amazon Linux 
10.90.1.88 AGENT-P04 Amazon Linux 


スキ ャ ン す る EC2 イン スタ ンス に 対す る セキ ュ リ ティ グル ー プ の 設定 
AWS で は 、Scanner Appliance また は Scanner Appliance の セキ ュ リ ティ グル ー プ の IP アド レス の すべ て 
の ポー ト に 、 イ ン バ ウ ンド アク セス を 許可 する セキ ュ リ ティ グル ー プ を 関連 付け る 必要 が あり ます 。 


次 に 示す の は 、Qualys Virtual Scanner Appliance の セキ ュ リ ティ グル ー プ の すべ て の ポー ト に 対し て イン 
バウ ンド アク セス を 許可 する EC2 イン スタ ンス に 割り 当て られ た セキ ュ リ ティ グル ー プ の 例 で す 。 


Create Security Group Actions マ 


〇 Group ID - sg-4a6df822 Add filter @ 1 
因 Name ~ Group ID * Group Name ~ VPCID ~ Description 
悦 EC2Instanc.. sd-4a6df822 Instance Group vpc-995e66f0 Instance Group 


Security Group: sg-4a6df822 


Description Inbound Outbound Tags 
Edit 
Type (i Protocol (i Port Range (i Source (i Description (i 
All traffic All All sq-584c1430 (Qualys Virtual Scanner Ap| Qualys Scanner Sec. 
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OS 認証 の 設定 


アセ ッ ト の スキ ャ ン 


ホス ト OS 認証 (信頼 で きる スキ ャ ン ) を 使用 する と 、 ス キャ ン 中 に 各 対 象 シ ステ ム に ログ イン で きま す 。 


認証 スキ ャ ン を 実行 する と 、 誤 検出 を 減ら し 、 正 確 な 結果 を 得る こと が で きま す 。 


「Scans」 つ 「Option Profiles」 に 移動 し ます 。 プ ロフ ァイル の 「Initial Options」 を 編集 し 、「Save As」 を 


使用 し て プロ ファ イル を 別 の 名 前 で 保存 し ます 。 こ の 新しい プロ ファ イル で 、 必 要 な 認 
ま す 。 


Authentication 


Authentication enables the scanner to log into hosts at scan time to extend detection capabilities. See the online help to learn 
how to configure this option 


| Windows 
| UnigCisco 
Oracle 


Oracle Listener 
SNMP 

VMware 

DB2 

HTTP 

MySQL 


「Scans」 つ 「Authentication」 に 移動 し ます 。 ス キャ ン す る EC2 イン スタ ンス の 認 訓 


証 タイ プ を 有効 化し 


E レ コー ド (Unix や 


Windows な ど ) を 追加 し ます 。 認 証 で 使用 する アカ ウン ト の 資格 情報 を 認証 レコ ー ド 
り ま す 。 こ れ は OS ユー ザ の アカ ウン ト で あり 、AIM ユー ザ の アカ ウン ト で は あり ま 
ム で 認証 用 に 専用 の アカ ウン ト を 作成 する こと を お 勧め し ます 。 


VMDR マ 
Dashboard i DN Seans 
Windows Record... 
Unix Record. 
Oracle Listener Record.. 
Search SNMP Record. 
MS SQL Record 
Overview Cisco Record.. 
Credentials Brea IBM DB2 Record 1 Passing 
[ VMware ESXi Record 2 
MySQL Record 
MariaDB Record 


InformixDB Record.. 
Sybase Record... 
5 Checkpoint Firewall... 
PostgreSQL Record.. 
0 ] Pivotal Greenplum Record.… | Unix 
Palo Alto Networks Firewall Record... 
MongoDB Record 


HTTP Record.… 
Network Application Records.… 2 | 


Global Default Authentication Vaults 0.21.250 


— ー・・ ーー | vCenter Mapping 


Download. 
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に 追加 する 必要 が あ 
せん 。 対象 の シス テ 
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Unix レコ ー ド の 例 
1) ログ イン 資格 情報 - OS の ユー ザ 名 を 入力 し 、「Skip Password」 オ プシ ョ ン を 選択 し ます 。 


Edit Unix Record Turn help tips: On | Off Launch Help 
ea Authentication 
Provide login credentials to use for authenticated scanning. You have the option to get the login password from a vault available in your 
account. 
Private Keys / Certificates Usemame* に 
Root Delegation Get password from vault 
| Skip Password 
Qualys Shell 


Password 
Policy Compliance Ports 


IPs Confirm Password* 


Comments 


2) 秘密 鍵 - 鍵 認 証 を お 勧め し ます 。 鍵 の タイ プ (RSA、DSA、BCDSA、ED25319) を 
選択 し 、 秘 密 鍵 の コン テン ツ を 入力 し ます 。 


Set private key / certificate for your Unix record 


Get private key from vault 
Private Key Type: RSA マ 


Private Key Content ネネ ネネ ネネ ネネ ネネ ネネ Private Key InStalGd ネネ ネ キネ 


3) IP - この 認証 レコ ー ド の EC2 イン スタ ンス の Unix IP アド レス / 範囲 を 選択 し ます 。 
この レコ ー ド の 資格 情報 は 、 こ れ ら の アセ ッ ト の スキ ャ ン に 使用 され ます 。 


Edit Unix Record Tum help tips: On | Off LaunchHelp 

Record Title TPs 

Login Credentials Add IPs to your Unix record 

Private Keys / Certificates Enter or Select IPs/Ranges Select IPs/Ranges | Select Asset Group | Remove | Clear 
10.97.15.117 


Root Delegation 


Qualys Shell 


Policy Compliance Ports 


IPs > 


Comments 


Display each IP/Range on new line 
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Windows レコ ー ド の 例 


Securing AWS with Qualys 
アセ ッ ト の スキ ャ ン 


1) ログ イン 資格 情報 - OS の ユー ザ 名 を 入力 し 、「Skip Password」 オ プシ ョ ン を 選択 し ます 。 


Edit Windows Record Launch Help 人 


Use the basic login credential or choose to use authentication vault for authenticated scanning 


We'll attempt authentication to target hosts using the authentication protocols you select below. in the order listed 


Record Title Login Credentials 
IPs ®) Local 
Comments 〇 pemam 
Login 
(@) Basic authentication 
User Name: * 
Password 
Confirm PasSword 
Choose Authentication Protocols 
| NTLMv2 
NTLMv1 
2) IP - この 認証 レコ ー ド の EC2 イン スタ ンス 


この レコ ー ド の 資格 情報 は 、 こ れ ら の アセ ッ ト の スキ ャ ン に 使 


( Authentication Vault 


admin 


に 


囲 を 選択 し ます 。 


の Windows IP アド レス / 範 
1 され ます 。 


Edit Windows Record Launch Help 


Record Title IPs 
ks Add IPs to your Windows record 
Login Credentials 
Enter or Select IPs/Ranges 

IPs > 10.1.0.133, 10.1.1.108 

Comments 
OS 認証 の 詳細 
認証 レコ ー ド の ワー ク フ ブロー に 含ま れる オン ラ 


者 
画 


ン に つい て の 説明 が あり ます 。 こ れ ら の 文書 を 


Qualys Windows 認証 ガイ ド (PDF、 英 語 ) 


Qualys Unix 認証 ガイ ド (PDF、 英 語 ) 


Select IPs/Ranges | Select Asset Group | Remove | Clear 


可能 な すべ て の オプ ショ 


詳細 な 手順 と 使用 
1] する と 便利 で す 。 


イン ヘル プ に は 、 
参照 の た め に 使 
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ア 


Qualys で 定義 し た ネッ トワ ー ク が ある 場合 の Virtual Appliance の 移動 
この ステ ッ プ は 、 お 客 様 の Qualys アカ ウン ト で カス タム ネッ トワ ー ク を 定義 済み で ある 場合 に 


推奨 され ます 。 


セッ ト の スキ ャ ン 


デフ ォ ル ト で は 、 新 規 の Virtual Scanner Appliance は 、 グ ロー バル デフ ォ ル ト ネ ッ トワ ー ク に 配 


置き され 、 ス キャ ン が 実行 され る と 、 ホ スト スキ ャ ン デ ー タ が この ネッ トワ ー ク に 追加 され ま 


すず 。 


に 


スキ ャ ン を 行う 前 に 、 こ の Virtual Appliance を 必要 な ネッ トワ ー ク (グルー バル EC2 ネッ トワ ー 


多き 


E た は カス タム ネッ トワ ー ク ) に 移動 し て お く こ と を お 和 勧め し ます 。 


「Assets」 つ 「Networks」 に 移動 し 、Virtual Appliance を 移動 する ネッ トワ ー ク を 編集 し て 、 ア 
2 1002 く 0 0 2 |) (BON / 


事前 認証 済み Virtual Scanner Appliance を 使用 し た スキ ャ ン 


事前 認証 済み Scanner Appliance を 使用 


EC2 スキ ャ ン の ワー ク フ ロ ー 


Qualys に は 特別 な EC2 スキ ャ ン (お よび スケ ジュ ー ル EC2 スキ ャ ン ) の ワー ク フ ロ ー が 


これ は 事前 認証 
す 。 こ の ソリ ュー ショ ン に より 、 顧 客 は AWS か ら の スキ ャ ン の 許可 を 手動 で リク エス ト 3 
Amazon EC2-Classic お よび EC2-VPC で の オン デマ ンド お よび スケ ジュ ー ル に よる スキ ャ ン が 可能 に な り 
ます 。 


VMDR 


ママ 


Dashboard 


し た スキ ャ ン に は 、 以 下 の ス テッ プ が あり ます 。 


済み Virtual Scanner Appliance で AMI イ ンス タン ス を スキ ャ ン す る 場合 


Qualys コミ ュ ニ ティ : AWS の スキ ャ ン で 受け 入れ 可能 な 使用 ガイ ド 
Vulnerabilities Prioritization Scans Reports Remediation Assets 
Scans Maps Schedules Appliances Option Profiles Authentical 


Scans 


| New VY | Search | Fiters Y | < Vulnerability Scans | 


Title 


Certview FI 


| ⑩ WIN Client 


⑱ WIN Client 


| @ WIN Client 


WIN Client 


| ⑳ Certview FI 


A Certview FI 
Certview Fi 


© 10.10.10.1 


Scan 


EC2 ーッ 
Cloud Perireter Scan 


CertView Scan 

Cloud CertView Scan 
Schedule Scan 
Schedule EC2 Scan 
Schedule CertView Scan 


Schedule Cloud CerfView Scan 


Host 2 
Asset Group. 
Option Profile 


Download.. 


| ⑳ 10.10.10.1rorrorrorsgrrorror_roro9-TO_To-T08.10.10.10.94.10.10 
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Targets 
10.113.197.1-10.113.197.255 
10.115.105.212 
10.11.65.209. 10.11.65.223 
10.11.70.170-10.11.70.172 
10.11.70.170-10.11.70.172 
10.113.197.1-10.113.197.255 
10.113.197.1-10.113.197.255 
10.113.197.1-10.113.197.255 
10.10.10.11 


10.10.10.1. 10.10.10.8. 


] 意 され て お り 、 
に の み 動 作 し ま 
する 必要 が な く 、 


Securing AWS with Qualys 
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スキ ャ ン 設 定 の 定義 


1 
で は 必須 )。 


針 


スキ ャ ン に タイ トル を 設 


設定 し た EC2 コネ クタ 名 を 選択 し ます 。 


アセ ッ ト タ グ を 選択 し ます 。 こ れ ら は コネ クタ で アク ティ ブ 化 され る アセ ッ ト で す 。 


Wn 


Launch EC2 Vulnerability Scan Tum help tips: On | Off LaunchHelp 


General Information 


Give your scan a name, select a scan profile (a default is selected for you with recommended settings), and choose a scanner from the Scanner Appliance menu for internal scans, if 
Visible. 


Titie: My EC2 Scan 
Option Proflle- * My Option Profie Select @ 
Processing Priority 0 - No Priority マン 
Target Hosts 
Connector conncetor-us-east-1 2 
Platform (®) EC2-Classic (Selected Region)  ( ) EC2-VPC (All VPCs in Region) "(J EC2-VPC (Selected VPC) GO) 
Available Regions. Select a region.. 
Include hosts that have Any iv, | of the tags below. Add Tag 


(no tags selected) @) 


Scan agent hosts in my target 


Amazon EC2 で 開始 し た Virtual Scanner Appliance AMI を 選択 し ます 。 


Scanner Appliances 


Be sure the scanner appliances you pick can reach the target EC2 instances, i.e. within the region on the EC2 Classic or in the same VPC, or a connected VPC. You must select 
appliances with the same EC2 proxy settings. 
Don't see the Scanner in the list. Click the Show All link next to he Scanner Appliance drop-down. 


Scanner Appliance: * Select Applance jew Show Al © 


Notification 


Send notification when this scan IS finished 


し 、 認 証 で 設定 し た オプ ショ ンプ ロフ ァイル を 選択 し ます (脆弱 司 


E ス キャ ン 


2 

3) 「Platform」 の 場合 、「EC2 Classic」 、「EC2 VPC (All VPCs in region)」 、 ま た は 「EC2 VPC (Selected 
VPC)」 か ら 1 つ を 選択 し ます 。 選 択 に 基づい て 、 リ ー ジ ョ ン を 選択 し ます 。 
4 


「Launch」 を クリ ッ ク し て スキ ャ ン を 開始 し 、 Amazon EC2 イン フラ スト ラク チャ を セキ ュ リ ティ 保護 し ま 
す 。 
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スキ ャ ン を 開始 する 前 に 、「EBC2 Vulnerability Scan Preview」 に すべ て の イン スタ ンス (終了 し た イン ス 
タン ス を 含む ) が 一 覧 表示 され ます 。 た だ し 、 ス キャ ン 時 に は この よう な 終了 し た イン スタ ンス は 無視 され 
ます 。 


Launch EC2 VulInerability Scan Preview x 


following list displays which hosts will be targeted for the scan. Any terminated instances in the following list will be automatically ignored from being included in the scan job. You may launch the scan anytime without 
na for fhe tarnet list to load 


king ip DNS NetBIOS 
2 10.0.0.73 +-039964258f5139569 


10.0.1.53 +-0e768e433a8449a56 WIN-QIVIUO0GJPQ 


ゃ 
a 
@ 


1-5of5 


EC2 Classic イン スタ ンス の スキ ャ ン 


リー ジョ ン 内 の EC2 Classic ホス ト を スキ ャ ン す る に は 、「EC2 Classic (Selected Region)」 を 選択 し ます 。 
この オプ ショ ン を 選択 する と 、 リ ー ジ ョ ン に ある BC2 Classic イン スタ ンス の み が ス キャ ン さ れ ま す 。 


Target Hosts 

Connector Conncetor-us-east-1 

Platform (@) EC2-Classic (Selected Region)  ( ) EC2-VPC (All VPCs in Region)  ( ) EC2-VPC (Selected VPC) 
Available Regions US East (N. Virgina) 


VPC イン スタ ンス の スキ ャ ン 
選択 し た VPC の み を スキ ャ ン す る に は 、「EC2-VPC (Selected VPC)」 を 選択 し ます 。 


Target Hosts 

Connector Conncetor-us-eas-1 

Platform (OD Ec2-Classic (Selected Region) (@) EC2-VPC (All VPCs in Region)  ( ) EC2-VPC (Selected VPC) 
With this option there must be peering between all the VPCs in the selected reqion 

Available Regions US East (N. Virginia) 


VPC ピア リン グ 接 続 を 使用 し た イン スタ ンス の スキ ャ ン 


リー ジョ ン 内 に ある すべ て の VPC を スキ ャ ン す る に は 、「EC2-VPC (All VPCs in Region)」 を 選択 し ま 
す 。 こ の オプ ショ ン は 、 リ ー ジ ョ ン 内 の すべ て の VPC 間 で ピア リン グ が 確立 され て いる 場合 に の み 選 択 し 
ます 。Virtual Scanner Appliance が VPC に アク セス で き な い と 、 イン スタンス で 「Host not found」 エラ ー 
が 発生 する 可能 性 が あり ます 。 


Target Hosts 

Connector Conncetor-us-east-1 

Platform. 〇 EC2-Classic (Selected Region) 〇 EC2-VPC (All VPCs in Region) ® EC2-VPC (Selected VPC) 
Available VPC Zones: vpc-1e37cd76 
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GovCloud に ある EC2 イン スタ ンス の スキ ャ ン 


Qualys Virtual Scanner Appliance (qVSA) を 使用 し て AWS GovCloud の セキ ュ リ ティ を 確保 する に は 、 
以下 の 手順 に 従い ます 。 


Qualys TAM また は Qualys サポ ー ト に 、a) GovCloud 機能 お よび 、 b) Qualys Scanner Appliance の 
前 認証 済み AMI へ の アク セス を 依頼 し ます 。 


2) スキ ャ ナ を 実行 する AWS アカ ウン ト ID を 追加 し ます 。Qualys サポ ー ト に よっ て 特定 の アカ ウン ト ID 
へ の AMI へ の アク セス が 有効 化 さ れ ま す 。 


ェ 一 


HH 


3) Qualys サポ ー ト か ら 承 認 と アク セス 情報 に つい て の E メー ル が 送信 され て きま す 。 


4)“qVSA "AMI を 使用 し て Qualys Virtual Scanner イン スタ ンス を 作成 し ます 。 これ は 、「Create Instance」 
ウィ ザー ド の 「MyImages」 項 で 使用 で きる よう に な っ て いま す (検索 を 行う 必要 が ある 場合 は 、 キ ー ワ ー 
ド “qVSA ” を 使用 し て Qualys スキ ャ ナ を 検索 し ます )。 


$) 「 ス キャ ナ の 配置 」 の 説明 に 従っ て 、Virtual Scanner イン スタ ンス を 設定 し ます 。 


6) これ で スキ ャ ン を 行う 準備 が 整い まし た 。「 事 前 認証 済み Virtual Scanner Appliance を 使用 し た スキ ャ 
ン 」 の ステ ッ プ に 従い ます 。 
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Qualys Cloud Agent を 使用 し た 内 部 ネッ トワ ー ク の スキ ャ ン 


当社 の 革新 的 な Qualys Cloud Agent プラ ッ ト フ ォ ー ム を 使用 する と 、AWS イン フラ スト ラク チャ の セキ ュ 
リティ と コン プラ イア ンス を 継続 的 に 評価 する 軽量 の Cloud Agent を 導入 する こと が で きま す 。 


Cloud Agent の 機能 
- ポー ト 443 を 使用 し て Qualys クラ ウド プラ ッ ト フ ォ ー ム と 通信 し 、 プ ロキ シ 設 定 を サポ ー ト し ます 。 


- EC2 イン スタ ンス へ の 直接 配置 、 ま た は AMI へ の 組み 込み を 行い ます 。 ク ラウ ド バ ー ス ト 揮 発 性 イン 
スタ ンス も 問題 な く 動 作 し ます 。 


- Linux お よび Windows OS の 各 バ ー ジ ョ ン で の スキ ャ ン を サポ ー ト し ます 。 
- EC2 イン スタ ンス の OS 脆弱 性 の スキ ャ ン を サポ ー ト し ます 。 


は じ め に 
Cloud Agent (CA) アプ リケーション に 移動 し て 、Cloud Agent を イン スト ー ル し ます 。 


⑨ Qualys. Enterprise 


Cloud Agent マ 


ダッ シュ ボー ド エー ジエン ト 管 理 


A エー ジェ ント 人 管理 アク ティ ブ 化 キ 設定 プロ ファ イル 


保存 済み の 検索 < 


New Activation Key Tur help ips: On | 0| 


親しい エー ジェ ント の イン スト ー ル | Activation Jobs 


Create a new activation key 


新しい エー ジェ ント を イン スト ー ル し て 人 
イン スタ ンス に 直接 配置 する か 、 - 
また は AMI に 組み 込み ます Title 


AWSEC2AGENT 


キー を 割り 当て て アプ リケーション select | Create 
(VM、PC な ど ) を アク ティ ブ 化 し ます [Ec2 EAST x | 上 AS_Ec2 


Provision Key for these applications 


Vulnerability Management Policy Compliance 
ソン ツン | 
10 Licenses Remaining PC 10 Licenses Remaining 


推奨 リソー ス 


OOGIWS22 の NZ クシ クト クハ 
Qualys Cloud Agent 操作 ガイ ド 
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Qualys スキ ャ ナ を 使用 し た ペリ ミタ ー ス キャ ン 


Qualys スキ ャ ナ (イン ター ネッ トリ モー トス キャ ナ ) は Qualys クラ ウド プラ ッ ト フ ォ ー ム に 配置 され て お 
り 、EC2 イン スタ ンス の ベリ ミタ ー ス キャ ン に 使用 する こと が で きま す 。 


NR 
に アカ ウン ト が 設定 され る こと が あり ます 。 


これ ら は 、 対 象 の EC2 イン スタ ンス の パブ リッ ク DNS また は パブ リッ ク IP を 使用 し て 開始 され た 、 DNS 
また は IP ベー ス の スキ ャ ン で す 。 EC2 アセ ッ ト に パブ リッ ク DNS と パブ リッ ク IP アド レス の 両方 が 存在 
する 場合 、 パ ブリ ッ ク DNS で スキ ャ ン が 開始 され ます 。 


要件 
クラ ウド ベリ ミタ ー ス キャ ン は 、 ア カウ ント で 以下 の 機能 が 有効 に な っ て いる 場合 に 使用 で きま す 。 
1) EC2 スキ ャ ン 、 お よび 2) Scan by Hostname 


アカ ウン ト に は 、 ア カウ ント に 割り 当て られ て いる 以下 の パー ミッ ショ ン が 付与 され た マネ ー ジ ャ また は ユ 
ニッ トマ ネー ジャ の ロー ル が ある こと が 必要 で す 。 


- Enable Cloud Perimeter Scans (外部 スキ ャ ナ を 使用 し た スキ ャ ン の 開始 ) 


- Enable Internal Scanners for Cloud Perimeter Scans (内 部 スキ ャ ナ を 使用 し た スキ ャ ン の 開始 ) 


EC2 コネ クタ が 必要 で す 。 コ ネ ク タ か ら パ ブリ ッ ク ロ ー ド バラ ン サ を スキ ャ ン に 含め る に は 、CloudView 
アカ ウン ト で 同じ EC2 コネ クタ を 設定 し ます 。 同じ 設定 の コネ クタ を 作成 する に は 、 ア カウ ント に 
CloudView サブ スク リプ ショ ン 、 プ ラッ ト フ ォ ー ム に CloudView の ベー ス URL“ 
qweb cloud view base ur1” へ の アク セス 権 が 必要 で す 。CloudView オン ライ ン ヘ ルプ の 「AWS コネ ク 
タ の 設定 」 を 参照 し て くだ さい 。 


スキ ャ ン に micro、nano、small イン スタ ンス タイ プ を 含め る 場合 、 ア カウ ント で これ ら の イン スタ ンス タ 
イプ を アク ティ ブ 化 する 必要 が あり ます 。 


操作 手順 

すべ て の クラ ウド ベリ ミタ ー ス キャ ン は 、「now」(1 回 の み の ス キャ ンジ ョ ブ ) 、 ま た は 「recurring]」 の ど ち 
ら か で スケ ジュ ー ル され ます 。 保存 し た スキ ャ ンジ ョ ブ は 、「Schedules」 リ スト に 表示 され ます 。 ス キャ ン 
ジョ ブ が 開始 され る と 、「Scans」 リ スト に 表示 され ます 。 
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脆弱 性 スキ ャ ン の 場合 は VM/VMDR、 コ ンプ ライ アン スス キャ ン の 場合 は PC に 移動 し 、「New」 一 「Cloud 
Perimeter Scan」 を 選択 し ます 。 こ の オプ ショ ン は 、「Schedules」 タ ブ か ら も 選択 で きま す 。 


(③) CE Scans Maps Schedules 


v |New マ || searcn | | Fites マ | 


Scan 

| EC2 Scan 
Cloud Perimeter Scan 
Schedule Scan 


Title 


Schedule EC2 Scan 


Host 2 
Asset Group... 


Option Profile... 


Download.… 


最初 に 行う こと は 、 設 定 し た EC2 コネ クタ を 選択 する こと で す 。 


Turn help tips: On | Of 


etalls amazon 


web services 


Service: 


Schedule & Notificatior AWS EC2 


スキ ャ ン に タイ トル を 設定 し 、 認 証 で 設定 し た オプ ショ ンプ ロフ ァイル を 選択 し ます 。 未 認証 、 ま た は 誰 証 
済み の クラ ウド ベリ ミタ ー ス キャ ン の どちら か を 開始 する こと が で きま す 。 


New Cloud Perimeter (EC2) Scan Tum help ips: On | Off 
Cloud Information Scan Details 
Give your scan a name, Seledt a scan profile (a default is selected for you with recommended settings), and choose a Scanner 1 
Scan Details > Scanner Appliance menu for internal scans, if visible. 
Target Hosts Te AWS EC2 Perimeter Scan 20180330 
Bi Option Profile*: [Auth-Profile Th Seled 
Processing Priority: 0 - No Priority マ 
dulE 3 
Scan Job Status: 同 Deactivate this task 


次 に 、 ス キャ ン の 対象 ホス ト を 選択 し ます 。 プ ラッ ト フ ォ ー ム 、 リ ー ジ ョ ンコ ー ド 、VPC ID、 ア セッ ト タ 
グ 、 ま た は ロー ド バ ラ ン サ の DNS 名 を 指定 し な い 場 合 、 コ ネ ク タ か ら 解 決 さ れ た アセ ッ ト で スキ ャ ン が 開 
始 さ れ ま す 。 
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1) (オプ ショ ン ) プラ ッ ト フ ォ ー ム オプ ショ ン を 「EC2 Classic」、「EC2 VPC (All VPCs in region)」、 ま た 
は 「EC2 VPC (Selected VPC)」 か ら 選 択 し ます 。 選 択 に 基づい て 、 リ ー ジ ョ ン を 選択 し ます 。 


イン スタ ンス タイ プ が 2.nano、13.nano、t1.micro、ml.small の アセ ッ ト を スキ ャ ン に 含め る た め の オ プ 
ショ ン も あり ます 。 こ の オプ ショ ン を 選択 する と 、 こ れ ら の イン スタ ンス タイ プ に つい て 論証 な し の ライ ト 
ポー トス キャ ン の 実行 を 推奨 する 警告 メッ セー ジ が 表示 され ます 。 ス キャ ン に に micro、nano、small イン ス 
タン スタ イプ を 含め る 場合 は 、 ア カウ ント で これ ら の イン スタ ンス タイ プ を アク ティ ブ 化 する 必要 が ある こ 
と に 留意 し て くだ さい 。 


2) (オプ ショ ン ) アセ ッ ト タ グ を 選択 し ます 。 これ ら は コネ クタ に 対し て アク ティ ブ 化 され た アセ モッ ト で す 。 


3) (オプ ショ ン ) パブ リッ クロ ー ド バラ ン サ の チェ ッ ク ボ ックス を オン に し て 、 選択 し た コネ クタ か ら パ バブ 
リッ クロード バラ ン サ を 含め ます 。 BC2 Classie プラ ッ ト ジ シ ォ ー ム は 、 パ プリ ッ ク ロ ー ド パ バラン サ を サポ ー 
ト し て いま せん 。 


ロー ド バ ラ ン サ の DNS 名 を 入力 し て パブ リッ クロ ー ド バラ ン サ と と も に スキ ャ ン に 含め る た め の オ プシ ョ 
ン も あり ます 。「Add」 を クリ ッ ク し て DNS 名 を 入力 し ます 。 


「Tnclude Public Load balancers from selected connector」 チェッ クボ ックス を オン に する と 、 選 択 し た コネ 
クタ と 同じ 設定 を 持つ CloudView の AWS コネ クタ か ら パ ブリ ッ ク ロ ー ド バラ ン サ が 取得 され ます 。 こ の 
オプ ショ ン を 選択 する 場合 、 CloudView アカ ウン ト で 、 選択 し た コネ クタ と 同様 の 設定 を 持つ コネ クタ を 用 
意 し て お いて くだ さい 。 CloudView で 同じ 設定 の コネ クタ が 見 つか ら な い 場 合 、 こ の オプ ショ ン を 選択 し て 
も パブ リッ クロ ー ド バラ ン サ は 取得 され ませ ん 。CloudView オン ライ ン ヘ ルプ の 「AWS コネ クタ の 設定 」 
を 参照 し て くだ さい 。 


アセ ッ ト お よび ロー ド バ ラ ン サ を 解決 する 場合 に 、 オ プシ ョ ン で 選択 され る “ プラットフォーム ” お よび 
“アセ ッ ト タ グ ” に つい て コネ クタ か ら 解 決 さ れる アセ モッ ト ま た は パブ リッ クロ ー ド バラ ン サ が な い 場 合 、 
スキ ャ ン は ロー ド バ ラ ン サ の DNS 名 で 開始 され ます 。 ロー ド バ ラ ン サ の DNS 名 が 指定 され て いな い 場 合 、 
スキ ャ ン は 失敗 し 終了 し ます 。 
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New Cloud Perimeter (EC2) Scan Tum help tips: On | Off Launch Help 
Cloud Information , Target Hosts ~ 
Platform: 3 EC2-Classic (Selected Region) © EC2-VPC (All VPCs in Region) © EC2-VPC (Selected VPC) 


Scan Details > 
に ーー With this option there must be peering between al the VPCs in the selected region. 


⑥ 
ー Available Regions US East (N. Virginia) 


Scanner 
連 Include AWS EC2 microinano/small instance types 
Schedule & Notification Select this option to include assets with instance types 12.nano. 13.nano. t1.micro and m1.small in the scan 
Warning: Scanning Micro, Nano and Small instance types 
Review 
AWS EC2 assets with instance types 12.nano, {3.nano, 1 micro and m1.small have very limited CPU. When scanning 
these instance types we recommend you choose an option profile with Light port scanning and no authenticafion, 


Altematively. use Qualys Cloud Agent to perform the equivalent of authenticated scanning for the least performance 
impact for these instance types. 


Sel 
We'll include the instances hat match your tags and your platformyregion 


(2 Include hosts that have | Any _ lv, of the tags below. dd Tag 


[2nano x | BNano x | m1.sman x | oudPerimeter x 


Do not include hosts that have | Al wv, of the tags below. Add Tag 


(no tags selected} 


Loe: d 
(2 Include Public Load balancers from selected connector 


Tell us the DNS names for your Internet facing load balancers to include them in the scan 


30 [Remove Selected | Remove Al | Ad | 


」 abc.com 人 
ltest.con 


em 


DNS ベー ス の スキ ャ ン 
この 機能 は 、 使 用 し て いる サブ プス クリ プシ ョ ン で 有効 に する 必要 が あり ます 。 この 機能 を 有効 に する 場合 は 、 
Qualys サポ ー ト に お 問合せ くだ さい 。 


DNS ベー ス の スキ ャ ン の 動作 : ユー ザ が ELB な どの スキ ャ ン を DNS に 送信 し ます 。 IP は リア ル タ イ ム で 
解決 され て スキ ャ ン さ れ ま す 。 


クラ ウド ベリ ミタ ー ス キャ ン で は デフ ォ ル ト で Qualys 外部 スキ ャ ナ が 使用 され 


す 。 


New Cloud Per (EC2) Scan Turn help fps: On | Off Launch Help 
Cloud Information > Scanner 
We use Qualys Internet Scanners for Cloud Perimeter Scans. Please Continue. 
Scan Details > 
Selected Platform: EC2-VPC (Al VPCs in Region) 
Target Hosts > 
m Selected Region: US East (N. Virginia) 


Scanner Appliance: External Scanner (Qualys Internet Scanners) 


Schedule & Notification 
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プラ イベ ー ト クラ ウド プラ ッ ト フ ォ ー ム の 場合 、Scanner Appliance が クラ ウド ベリ ミタ ー ス キャ ンジ ョ ブ 
で 使用 で きる よう に サブ スク リプ ショ ン が 設定 され て いる こと が あり ます 。 こ の 場合 は 、 リ スト か ら 1 つ 以 
上 の Scanner Appliance を 選択 し ます (Build my list」 オプション を 使用 )。 


New Cloud Perimeter (EC2) Scan Turn help ps: On | Off Launch Help 
Cloud Information Scanner 
Selected Platform- EC2-VPC (Al VPCs in Region) 
Scan Details 
Selected Region: US East (N. Virginia) 
Tarqet Hosts 
Scanner ADDlianCe- Externa | 
Build my list 
& Notif sada-scr-0912 


sada-scr-0912-1 


スキ ャ ン を 実行 する タイ ミン グ を 、「Now」 と 「Recurring」 から 選択 し ます 。 


「Now」 を 選択 し て も 、 ス キャ ン が すぐ に は 開始 され な いこ と が あり ます 。 新規 ス キャ ン リ クエ スト は 、 数 
分 ご と に チェ ッ ク さ れ ま す 。 ス キャ ナ が 使用 可能 で あり 、 同 時 実行 で きる スキ ャ ン の 上 限 数 に 達し て いな い 
場合 、 ス キャ ン が 開始 され ます 。 ス キャ ナ が 使用 可能 で な い 、 ま た は 上 限 に 達し て いる 場合 、 ス キャ ン は 次 
に 条件 が 整っ た と き に 開始 され ます 。 


「Recurring」 を 選択 し た 場合 は 、 ス ケ ジ ュ ー ル と 通知 の オプ ショ ン も 設定 し ます 。 こ れ ら の 設定 は 、 他 の ス 
キャ ンス ケ ジ ュ ー ル の 設 定 と 同じ で ある た め 、 使い 慣れ て いる は ず で す 。 


New Cloud Perimeter (EC2) Scan Turn help tips: On | Off 
Ct oa Schedule & Notification 

Schedule*: © © Recurring 
Scan Details 
schedule sett ま 8 くく ん ん 

"9 You can schedule for recurring scans 

Scanner 

Start Mar 30, 2018 円 00:00 ン 
Schetite & Notification ん (GMT -08:00) United States, Calfornia (Pacific Stal 園 DST 
Review Duration 同 Y after hours minutes 

Resume Days マ Y hours 

Occurs Daily マ 

Every 1 days 
Ends after occurrences 


Notification Settings 


Setup email notifications for you and other users. The email will always include info like the title, owner option profile and start 1 
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この 設定 に 基づい て 、 ス キャ ン す る アセ ッ ト が 識別 され ます 。 


New Cloud Perimeter (EC2) Scan Turn help tips: On | Off 


Please review the information and Schedule the scan 


Cloud Information 
Scan Details Cloud Information a 
Provider: AWS 
Target Hosts Connector*: conn1 
Service- EC2 
Scanner 
Scan Details ーー 
Schedule & Notification Title*: AWS EC2 Perimeter Scan 20180330 
Option Profile*: Auth-Profile 
nn gs mmm re eS 
Platform*: EC2-VPC (All VPCs in Region) 
Region*: US East (N. Virginia) 
Tags Included*: Any of the following tag(s}: EC2 Tag 
Load balancers DNS list testcom, abc.com 


3 Resolving targets to Scan... 


スキ ャ ン 対 象 と な る アセ ッ ト 数 が 表示 され ます 。 


「Assets Identified / Synced ト 」- この スキ ャ ンジ ョ ブ で 選択 し た コネ クタ に よっ て 検出 され た アセ ッ ト の 数 
で す 。 


「Assets Qualified for scan」 - コネ クタ に よっ て 検出 され た アセ ッ ト の うち 、 選 択 さ れん た プラッ ト フ ォ ー ム 、 
リー ジョ ン 、 ア セッ ト タ グ が 一 致す る アセ モット の 数 で す 。 終 了 し た イン スタ ンス は 除外 され ます 。 


「Assets Submitted to scan」 - スキ ャ ンジ ョ ブ で 送信 され る アセ ッ ト の 数 で す 。 条 件 を 満た す ア セッ ト (上 記 
の カウ ント ) か ら 、VM で (脆弱 性 スキ ャ ン 用 に ) アク ティ ブ 化 され て いな い ア セッ ト と 、PC で (コン プ 
ライ アン スス キャ ン 用 に ) アク ティ ブ 化 され て いな い ア セッ ト を 除外 し た も の に な り ま す 。 


準備 が 整っ た ら 、「Submit Scan Job」 を クリ ッ ク し ます 。 


次 に 実行 され る こと 
新しい スキ ャ ンジ ョ ブ は 、「Schedules」 リ スト に 表示 され ます 。 


Scans Scans WE Schedules Appliances Option Profiles Authentication Search Lists Setup 


New v | | Searcn | | riters v 1-20 of 84 b な て 回 1 旧 


(VU Type Title Tarqets Scanner Assiqned User NextLaunch IModified ェ Previous Duration 
回 & KC | AWS EC2 Perimeter Scan 20180404 Asset Tags External Jie Zhang 0405/2018 at 03:33:00 (GMT0700) 04/04/2018 at 05:03:42 (GMT-0700) Not Available ca 
Included Scanner 
固 [ ] KC | AWS EC2 Perimeter Scan MN Asset Tags External Jie Zhang 04/05/2018 at 02:04:00 (GMT-0700) 04/04/2018 at 03:39:13 (GMT-0700) 00:00:45 
Included Scanner 


スキ ャ ン が 開始 され る と 、「Scans」 リ スト に 表示 され ます 。 他 の スキ ャ ン と 同様 に 、 ス キャ ン の キャ ン セ ル 
や 一 時 停止 、 ス キャ ンス テー タス の 表示 、 結 果 の ダウ ン ロ ー ド な どの アク ショ ン を 実行 する こと が で きま す 。 


63 


Securing AWS with Qualys 
アセ ッ ト の スキ ャ ン 


スキ ャ ン を 再度 実行 する に は 、「Quick Actions」 メニュー から 、「New Scan Job」 を 選択 し ます 。 特定 の ス 
キャ ン 設 定 を 元 の スキ ャ ンジ ョ ブ と 同じ に 保ち な が ら 、 ス キャ ンス ケ ジ ュ ー ル を 「Now」 で 実行 し ます 。 


CIE 天 Scans Maps Schedules Appliances Option Profiles Authentication Search Lists Setup 
a a Gan a eo・ 男 画 
- 国 


Quick Actions 


View 


enad scan/1522668818.52704 04/02/2018 


Initial Options Jie Zhang 


ompute- 


人 ⑳ AWS EC2 Perimeter Scan MN 


scan/1522653132.51735 04/02/2018 


Pause/Resume 


G 


compute- InitialOptions Vikram Tarase 


cel 


回 ⑯ AWs EC2 Perimeter Scan UM 


64 


Web アプ リケーション の セキ ュ リ ティ 保護 


Securing AWS with Qualys 
アセ ッ ト の スキ ャ ン 


Qualys を 使用 する と 、 ア プリ ケー ショ ンス キャ ン と ファ イア ウォ ー ル の ソリ ュー ショ ン を 使用 し て アプ リ 
ケー ショ ン の セキ ュ リ ティ を 確保 する こと が で きま す 。 


Policy Compliance 
IT イコ ンプ ライ 
化 す 


Security Assessment Questionnaire 
問 月 ク ンプ ライ 


用 し て 、 リ スク と コン プラ イア ンス 評価 を 


Web Application Scanning 


セキ ュ リ 


Malware Detection 


Web サイ ト の マル ウェ アリ スク を 特定 し て 管理 


Qualys WAS 


Qualys Web Application Scanning (WAS) に は 、 ク ロス サイ トス クリ プティ ング (XSS) や SQL イン ジェ 
クシ ョ ン を 含む アプ リケーション と REST API の 脆弱 性 を 識別 する た め に 、 カ スタ ム Web アプ リ ケ ー シ ョ 


ン に 対す る 


Qualys Virtual Scanner App 


操作 手順 


- 「 ス キャ ナ の 配置 」 の ステ ッ プ に 従っ て くだ さい 。 


- 『Qualys Web Application Scanning 操作 ガイ ド 』 の 手順 を 参照 し て くだ さい 。 


Qualys WAF 


Qualys Web Application Firewall (WAF) を 使用 し て 、 フ ァ イ ア ウォ ー ル ルー ル と 即 月 


パッ チ を 使用 


し て アプ リケーション を 保護 し ます 。 


操作 手順 


- AWS Marketplace か ら 入 ヨ 
- 『Qualys Web Application Firewall 操作 ガイ ド 』 の ヨ 


AWS Marketplace に ある Qualys Cloud Platform Web Application Firewall Appliance (HVM) 


awsmarketplace 


View Categories ~ 


QUALYS: 


Customer Rating 
Latest Version 
Operating System 
Delivery Method 


Support 


Sell in AWS Marketplace 。 AmazonWebSerces Home Help 


Qualys Cloud Platform Web Application Firewall Appliance (HVM) 
Sold by: Qualys, Inc. 


The Qualys Web Application Firewall Virtual Appliance extends the reach of the Qualys Cloud Platform's integrated suite of 
security and compliance SaaS applications into the internal networks of both Amazon VPC and classic EC2 by providing seamless 
security to resources hosted within AWS.IMPORTANT NOTE: This AMI should not be used with 1-Click Launch, as additional 
configuration input is required when creating a new instance. This Web Application Firewall appliance is intended to be used with 
the WAF module within the Qualys Cloud Platform. Each instance of the Qualys WAF Virtual Appliance... Read more 


を ささ x (0 Customer Reviews) 
Qualys-WAF-AWS-1.2.0 
Linux/Unix, CentOS 6.5 


64-bit Amazon Machine Image (AMI) (Read more) 


See details below 
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動 巡 回 と テス ト の 機能 が あり ます 。 こ の 機能 を 使用 する に は 、AWS に よっ て 
liance を イン スト ー ル し ます 。 こ の アプ ライ アン ス は 、 脆 弱 情 
ンス を 確認 する スキ ャ ン で 使用 され る アプ ライ アン ス と 同じ も の で す 。 


[な 


Tr 
語 


H さ れる 仮想 


F で きる Web Application Firewall Appliance を イン スト ー ル し ます 。 
E 順 を 参照 し て くだ さい 。 


肝 前 認証 済み の 
E や コン プラ イア 


en 


Securing AWS with Qualys 


分 析 、 レ ポー ト 、 改 善 


分 析 、 レ ポー ト 、 改 善 


この 項 で は 、 ア セッ ト を クエ リ す る 方 法 、 ウ ィ ジ ェ ッ ト と ダッ シュ ボー ド を 作成 する 方 法 、AWS ホス ト の 


脆弱 性 管理 で レポ ー ト を 生成 する 方 法 に つい て 説明 し ます 。 


EC2 アセ ッ ト を クエ リ す る 方 法 


検索 機能 を 使用 する と 、 ア セッ ト に 関す る すべ て の 情報 を 1 か 所 か ら す ば や く 検 索 す る こと が で きま す 。 
AssetView アプ リケーション の 「 ア セッ ト 」 タ プ ブ に 移動 し ます 。AWS と 入力 する と 、 ア カウ ント ID、 イン 


スタ ンス タイ プ 、 ホ スト 名 な ど 、 検 索 可能 な アセ ッ ト プ ロ パ ティ が 表示 され ます 。 
ティ を 選択 し ます 。 


AssetView マ 


的 の アセ ッ ト プ ロ パ 


ヘル プ マ 

ダッ シュ ボー ド アセ ッ ト テンプレート コネ クタ 
* 三 Assetview アセ ッ ト タグ コネ クタ 
保存 済み の 検索 > 検索 クエ リ を ここ に 入力 ウィ ジェ ッ ト を 作成 保存 
際 @ 
ec2.accountld 
構文 の ヘル プ 

ec2 availabilityZone aws.ec2.accountid 
ec2.hasAgent テキ スト 値 娠 娠 # を 使用 し て 、 特 定 の アカ ウン ト ID を 持つ EC2 イン スタ ンス を 検索 し ます 。 
ec2.hostname 例 
ec2.imageld 次 の アカ ウン ト !D に 一 致す る EC2 イン スタ ンス の 検索 
EE ec2.instanceld avs-ec2.account ld: 123458789( 
ee 「12345」 で 始ま る アカ ウン ト ID を 持つ EC2 イン スタ ンス の 検索 


= aws・ec2.accountld: 12345* 


クエ リ の 保存 


検索 内 容 は 、 再 使用 や 他 の ユー ザ と の 共有 の 目的 で 、 簡 単に 保存 する こと が で きま す 。 


AssetView マ 


ダッ シュ ボー ド アセット テンプ レー ト コネ クタ 


‘= AssetView 


保存 済み の 検索 * ウィ ジェ ッ ト を 作 (a) 


aws.ec2,instanceState:"RUNNING" 


保存 済み の 検索 
保存 済み の 検索 を 使用 する と 、 あ る 検索 フィルタ か ら 別 の 検索 フィ イィ ル タ に すばやく 移動 で きま 
島 タ イト り 9 フィ ー ル ド 


Running Instances Query 


この 検索 を お 気に入り に 追加 
この 検索 を 他 の ユー ザ と 共有 
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検索 結果 の ダウ ン ロ ー ド と エク スポ ー ト 
検索 結果 の エク スポ ー ト は 1 分 ほど で 終了 し ます 。「 ツ ー ル 」 メ ニュ ー か ら 「 ダ ウン ロー ド 」 を 選択 し ます 。 
次 に 、 エクスポート の 形式 を 選択 し て 、「 ダ ウン ロー ド 」 を クリ ッ ク し ます 。 複数 の 形式 で 結果 を エク スポ ー 
ト で きま す (CSV、XML、PDF、DOC、HTML な ど )。 

AssetView マ ヘル プッ | ログ アァ ウト 


ダッ シュ ボー ド アセ ッ ト テンプレート コネ クタ 


: 三 AssetView アセ ッ ト 議 ら 2 コネ クタ 
保存 済み の 検索 * ウィ ジェ ッ ト を 作成 保存 マ アセ ッ ト 
aws.ec2.instanceState:"RUNNING" @ 検索 2 54 
> = セッ ト を グル ー プ 分 け マ sl 
唱 アセ ッ ト 名 0s モジ ュー ル 最終 ログ イン ユー ザ アク ティ ビ テ ィ ソー ス タグ SD 


デー タリ スト の ダウ ン ロ ー ド 


Jessica_ML-regression-VPC-. ぬ Linux 


Bi ダウ ン ロ ー ド 形式 の 選択 


桂 呈 | カン マ 区 切り 値 (CSV) 

Extensible Markup Language (XML) 
@ EE Portable Document Format (PDF) 

FEA Microsoft Word (DOC) 

圧縮 され た HTML ペー ジ (ZIP) 

Web アー カイ ブ (HTML) - Internet Explorer 7 より 新しい ブラ ウザ また は 各種 モダ ン ブ 
ラウ ワザ 用 


(GMT 09:00) Yakutsk Time (YAKT Asia/Chita) 


キャ ン セ ル | 
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ウィ ジェ ッ ト の 作成 


アセ ッ ト で クエ リ を 実行 し て ウィ ジェ ッ ト を 作成 し 、 ダ ッシュ ボー ド に 追加 し ます 。 例 えば 、 実行 


の 状態 


で 1 か 月 スキ ャ ン さ れ て いな い AWS アセ モット を 検索 し ます 。 ク エリ を 入力 し て 「 ウ ィ ジ ェ ッ ト を 作成 」 を 


クリ ッ ク し ます 。 次 に 、 ウ ィ ジ ェ ッ ト を ダッ シュ ボー ド に 追加 し ます 。 
AssetView マ 上 | ワッ マ 


ダッ シュ ボード アセ ッ ト テンプレート コネ クタ 


* 三 AssetView アセ ッ ト 議 ご 2 


ウィ ジェ ッ ト を 作成 偽 


保存 済み の 検索 で 


クリ ッ ク し て 新しい 
ウィ ジェ ッ ト を 作成 


aws.ec2.instanceState:"RUNNING" AND NOT lastVmScanDate: [now-30d..now-1s] 
Yi| | 項目 別に アセ ッ ト を グル ー プ 分 け て 


ロロ アセ ッ ト 名 ダッ シュ ボー ド に 新規 ウィ ジ エ ッ ト を 追加 


以下 の フォ ー ム を 使用 する ウィ ジェ エット の デー タ を 選択 "| = ミラ メー トド ウィ ジェ エッ ト の 外観 を カス タマ イズ 


01 sR 


テー ブル 棒グラフ 円 グラ フ 


sada-360testvpc-withinterne. 
192.1.1.192, 54.88.147.149 | ip-1 


sada-360testvpc-NoNet-don 
34.236.237.239, 192.1.2.198 | ip- 


San_Windows 
172.31.33.157, 54.175.47.180 | e 


ウィ ジェ ッ ト タ イト ル * 
タイ トル 未 設定 ウィ ジェ ッ ト 
クエ リ 
aws.ec2.instanceState:"RUNNING" AND NOT lastVmScanDate: [now-30d..now- 
1s] 
比較 
引 他 の 参照 クエ リ と 比較 
トレ ンド 分 析 
芝 トレ ンド デー タ を 取 集 


この ウィ ジェ ッ ト で は 、 そ の 結果 が 日 ご と に 最大 で 90 日 間 保 存 さ れ ま す 。 結果 は 
グラ フ 化 され 、 ト レン ド を 把 押す る た め に デー タ を 分 析 で きま す 。 時 i 
ダッ シュ ボー ド に 


簡単 に 追加 


条件 付き 書式 の 追加 .… 


EC2 属性 を 使用 し た 動 的 タグ 付け 


注記 : 複数 の ルー ル を 適用 で きる 場合 は 、 最 後 の ル ー ル が 適用 され ます 。 


戻る (| ダッ シュ ボー ド に 追加 | 


EC2 コネ クタ に よっ て 収集 され た アセ ッ ト に 対し て 、EC2 メタ デー タ 属 性 を 使用 し て 動 的 タグ を 作成 し 
す 。 次 に 動 的 タグ を EC2 スキ ャ ン 範 囲 と し て 使用 し ます 。「AssetView」 つ 「 ア セッ ト 」 つ つ 「 タ グ 」 を 選択 


し 、 ク ラウ ドア セッ ト 検 索 (AWS EC2 イン スタ ンス ) の タグ ルー ル を 使用 レ し て タグ を 作成 し 』 


有効 | 無効 ヘル プ を 起動 XX 


ステ ッ プ 23 タグ の タイ プ お よび ルー ル を 設定 
1 タグ の 詳細 マツ ルー ル エ ンジ ン (9 ゅ 大 フィ ー ル ド 
Cloud Asset Search (AWS EC2 Instances) マ て 
の タグ ルー ル ン 誠 和 衝 に ル ー ル を 再 放 休 
3 設定 内 容 を 確認 Ed 


aws.ec2.instanceState:"RUNNING" and aws.ec2.region.name:"US East (N. Virginia)" 


選択 し た アセ ッ ト に お ける ルー ル の 適用 性 を テス ト 


アセ ッ ト を 追加 : アセット を 選択 > (7 週 用 性 を テス ト 
ルー ル を テス ト す る アセ ッ ト を 選択 し て くだ さい 


キャ ン セ ル し gs ) 
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レポ ー ト の 生成 


レポ ー ト を 作成 し 、BC2 アセ ッ ト の 脆弱 性 を 特定 する こと が で きま す 。「 レ ポー ト 」 つ 「 レ ポー ト 」 つ 「 新 
規 」 一 「 ス キャ ン レ ポー ト 」 を 選択 し ます 。 次 に 、 事 前 設定 済み 、 ま た は カス タマ イズ され た テン プレ ー ト 
を 選択 し ます 。 


レポ ー ト タイ トル を 設定 し 、 テ ンプ レー ト 、 レ ポー ト 形 式 、 ホ スト dP アデ ドレ ス ま た は タグ ) を 選択 し て 、 
レポ ー ト を 生成 し ます 。 


テン プレ ー ト の カス タマ イズ に 応じ て 、 レ ポー ト に は 、 脆 弱 性 情報 を 示す グラ フ や チャ ー ト 、 イ メー ジ ID 
や VPV ID な どの EC2 イン スタ ンス 情報 、 イ ンス タン ス の 状態 や タイ プ な ど を 含め る こと が で きま す 。 こ 
の イン スタ ンス 情報 は 、 ホ スト の 脆弱 性 の 改善 と 修正 の た め に 使用 で きま す 。 


EC2 アセ ッ ト の レポ ー ト の 例 を 次 に 示し ます 。 


10.90.0.188 (i-a5d043c0, i-a5d043c0, IP-0A5A00BC) Windows 2008 Service Pack 2 
CRM-27891Net 


Host Identification Information 


ami-c91ccba0 
VpC-1e37cd76 
Instance State RUNNING 
Private DNS Name jp-10-90-0-188.ec2.interna 
Instance Type m1.medium 


Associated Tags: CRM-27891, QCon1, Set1. TagPOR7098, set4: 


Vuinerabilities Total 10 (0)- Security Risk | 


Confirmed Potential 
0 
10 


0 
10 
0 
0 
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Qualys を 使用 し た アセ ッ ト 管 理 


ここ で は 、Qualys を 使用 し て AWS EC2 イン フラ スト ラク チャ を セキ ュ リ ティ 保護 する た め に アセ ッ ト を 
編成 する た め の ベ スト プラ クティ ス と ヒン ト に つい て 説明 し ます 。 


Qualys の 設定 


アデ アセット グル ー プ - アセ モッ ト を 意味 の ある グル ー プ に 編成 し 、 サブ プ ュ ユーザ に 割り 当て ます 。 ア セッ トグル ー 
プ は 、 ス キャ ナ 、 リ ー ダ 、 ユ ニッ トマ ネー ジャ (ビジ ネス ユニ ッ ト が 定義 され て いる 場合 ) な ど 、 複 数 の 
ユー ザ が ある 場合 は 必須 で す 。 同 じ IP アド レス に 複数 の アセ ッ ト グ ルー プ を 含め る こと が で きま す 。 


VMDR マ 明 厨 meey 


Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets KnowledgeBase Users 


Assets Asset Groups Host Assets Asset Search Virtual Hosts Domains Networks Applications Ports/Services os 


コレ ニニ レニ ニニ ニニ 
_ Title » IPs Domains Appliances BusinesslImpact User Modified 
| 10.11.12.13 10.11.12.13 0 High 09/06/2018 
= 10.10.10.1-10.10.10.20 10.10.10.1-10.10.10.20 0 High 02/05/2018 
| 10.10.10.1-10.10.10.10 10.10.10.1-10.10.10.10 0 High 02/05/2018 


ビジ ネス ユニ ッ ト - 組織 の 状態 と 一 致す る よう に ユー ザ と アセ ッ ト を ビジ ネス ユニ ッ ト に 編成 し ます 。 こ う 
する こと に より 、 マ ネー ジャ に は 、 自 分 に 割り 当て られ た ビジ ネス ユニ ッ ト の コン テキ スト に 沿っ て ユー ザ 
に ロー ル ベ ー ス の パー ミッ ショ ン を 付与 で きる よう に な り ま す 。 同じ IP アド レス に 複数 の ビジ ネス ユニ ッ 
ト を 含め る こと が で きま す 。 


VMDR マ 明 。 還 Hemy マ | Logout 


Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets KnowledgeBase Users 


| USers 有吉 Business Units Distribution Groups Activity Log Setup 


マ | New て | | searen | |1-4o0f4 券 マ 

Title a Primary Contact Users Modified 

| BUFromAV 0 107242017 
中 DemoBU 0 10/24/2017 
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ネッ トワ ー ク - 重複 し て いる IP ブロ ッ ク を 個 


別に 維持 する た め に 、 独立 し た プラ イベ ー ト IP ネッ トワ ー ク 


を 編成 し ます 。 これ が 設定 され る と 、 Qualys は ネッ トワ ー ク と IP アド レス を 使用 し て TP を 追跡 し ます 。 TP 
アド レス は 、 サ ブス クリ プシ ョ ン ま た は 1 つの ネッ トワ ー ク に 対し て 一 意 で ある 必要 が ある 点 に 注意 し て く 
だ さい 。 
VMDR マ 硬 Hemy Logout 
Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets KnowledgeBase Users 
‘= Assets Asset Groups Host Assets Asset Search Virtual Hosts Domains Networks Applications > 
| ew v | | searen | ] |1-2o0f2 b | 巻 マ 
Titie ェ Created By Created Updated 
Global EC2 Neok ーー System 04/04/2020 04/04/2020 
Global Default Network (gefauit) System 06/19/72014 06/19/2014 


終了 し た イン スタ ンス の 削除 - 終了 し た イン スタ ンス は Qualys アカ ウン ト か ら 削 除 す る こと が で きま す 。 
Vulnerability Management また は Policy Compliance で 「Hosts」 一 「Asset Search」 に 移動 し て 、 追 跡 方 
法 が EC2 で ある アセ ッ ト を 選択 し ます 。x 日 以内 に スキ ャ ン さ れ て いな い 前 臣 
タ を 追加 し て 、 検 索 結 果 を 絞り 込む こと も で きま す 。 


VMDR マ 


スキ ャ ン 日 な どの パラ メー 


Dashboard Vulnerabilities Prioritization Scans Reports Remediation Assets 


の ASSetS 。 AssetGroups Host Assefs Asset Search Virtual Hosts 


Domains 
IPs/Ranges Global Default Network ャ Th Select 
exampis: 192.168.0.87-192.168.0.92. 192.168.0.200 
し | Search all assets in my network 
し 」Include asset qroup titles in results 
With the followinq attributes 
| 
DNS Hostname: 図 beginning with v 
EC2 Instance ID: 国 | beginning with v 
NetBIOS Hostname: 回 beginning with v 
racking Method: アッ EC2 ャ 
NEC2 Instance status- | TERMINATED ャ 
Operatinq System: 四 | beqinninq with ャ 区 Mew 
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「Search」 を クリ ッ ク し て 、「Actions」 メニ ュー か ら 「Purge」 を 選択 し ます 。 こ れ に より 、 ア セッ ト と ア 
セッ ト に 関連 する デー タ が モジ ュー ル か ら 削 除 さ れ ま す 。 


円 Asset Search Report - Google Chrome ーー トン 


箇 Qualys, Inc. [US] | https:/, 


Asset Search Report 


Filer Help・ 


Actions: | Edit v |Apply| 


Purge All 
Add to Asset Groups 

Add All to Asset Groups 

Add to a new Asset Group 

d Add All to a new Asset Group 

Remove from Asset Groups 

中 Remove Al from Asset Groups 

Launch Vulnerability Scan ervices Put. Lid, S 
Launch Vulnerability Scan on All 1005 

Launch Compliance Scan 

Launch Compliance Scan on Al 

Schedule VulInerability Scan 

SearcH schedule WVulnerability Scan on Al 

Asset Schedule Compliance Scan 

IPs/Ral Schedule Compliance Scan on Al 

Tags: | Launch Vulnerability Scan Report 

Launch Vulnerability Scan Report on Al 


Excluded ( any ): 


EC2 アセ ッ ト に Cloud Agent を 配置 し て お り 、 過 去 N 日 間 に チ ェ ッ クイ ン さ れ て いな い エ ー ジ ェ ン ト を ア 
ン イ ンス トー ル す る と いう よう な シナ リオ で は 、 次 の API 呼び 出し を 使用 する こと が で きま す 。 


リク エス ト : 


curl -u "USERNAME : PASSWORD" -X "pOST" -H "Content-Type: text/xml" - 
有 H 


"Cache-Control: no-cache" --data-binary 
@uninstall agents not checkedin.xml 
"https://qualysapi.qualys . com/qps/rest/2.0/uninstall/am/asset/" 


uninstall agents not checkedin.xml の コン テン ツン ツ : 


<?xml Yerg1on="1.0" encoding= "UTE-8" ?> 

<ServiceRequest> 

<filters> 

<Criteria field="tagName" operator="EQUALS">Cloud Agent</Criteria> 
<Criteria field="updated" operator="LESSER">2016-08- 
25T00:00:01Z</Criteria> 

</filters> 

</ServiceRequest> 


Cloud Agent API の 詳細 に つい て は 、『Cloud Agent API ユー ザ ガ イ ド 』 を 参照 し て くだ さい 。 
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AWS 環境 スキ ャ ン の 使用 例 


使用 例 1-IP の 重複 の な い 複 数 VPC の スキ ャ ン 
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- アセ ッ ト グ ルー プ の 定義 は 必須 で す が 、 ビ ジネス ユニ ッ ト は オプ ショ ン で す 。 


- ビジ ネス ユニ ッ ト が 定義 され て いる と 、 ユ ー ザ の アセ ッ ト に 対す る アク セス は 自分 の ビジ ネス ユニ ッ ト 内 
に ある アセ ッ ト の み に 制 限 さ れ ま す 。 ビ ジネス ユニ ッ ト A の ユー ザ は 、 ビ ジネス ユニ ッ ト B の アセ ッ ト に 


アク セス で きま せん 。 


- アセ モット グル ー プ AG1、AG2、AG7、AG8 に お いて IP アド レス の 重複 が な い 場 合 の ソリ ュー ショ ン で す 。 


Qualys クラ ウド プラ ッ ト フ ォ ー ム 


PPCEELLLLLLLLLLLLLLLI 


東部 リー ジョ ン 


sy veci1 


11.10.0.1- 
11.10.0.100 


® 


ビジ ネス ユニ ッ ト A 


ユー ザ : 
Tina, Jim, Sri 


アセ ッ ト 
グル ー プ : 
AG1.AG2 


アセ ッ ト 
グル ー プ の 
アセ ッ ト : 
11.10.0.1- 
11.10.0.100 
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sy vec2 


11.10.0.101- 
11.10.0.200 


Q 


ビジ ネス ユニ ッ ト B 


ユー ザ : 
Josh, Karen 


アセ ッ ト 
グル ー プ : 
AG7. AG8 


アセ ッ ト 
グル ー プ の 
アセ ッ ト : 
11.10.0.101- 
11.10.0.200 


使用 例 2 - IP の 重複 の ある 複数 VPC の スキ ャ ン 
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- ネッ トワ ー ク 、 ビ ジネス ユニ ッ ト 、 ア セッ トグル ー プ を 定義 する 必要 が あり ます 。 


- ビジ ネス ユニ ッ ト に より 、 


ト の み に 1 


ませ ん 。 


ユー ザ の アセ ッ ト に 対す る アク セス は 自分 の ビジ ネス ユニ ッ ト 内 に ある アセ ッ 
出 限 され ます 。 ビ ジネス ユニ ッ ト A の ユー ザ は 、 ビ ジネス ユニ ッ ト B の アセ ッ ト に アク セス で き 


- ネッ トワ ー ク A (アセ ッ ト グ ルー プ AG1、AG2) と ネッ トワ ー ク B (AG7、AG8) で IP アド レス の 重複 


が ある 場合 の ソリ ュー ショ ン で す 。 


Qualys クラ ウド プラ ッ ト フ ォ ー ム 


PPCEELLLLLLLLLLLLLLLLI 


東部 リー ジョ ン 


sy vec1 


11.10.0.1- 
11.10.0.100 


® 


ネッ トワ ー ク A 
ビジ ネス ユニ ッ ト A 


ゴー ザ : 
Tina, Jim, Sri 


グル ー プ : 
AG1.AG2 


アセ ッ ト 
グル ー プ の 
アセ ッ ト : 
11.10.0.1- 
11.10.0.100 
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注記 : 同じ ビジ ネス ユニ ッ ト 内 に 複数 の ネッ トワ ー ク を 設定 する こと も で きま す 。 


sy vec2 


11.10.0.1- 
11.10.0.20 


® 


ネッ トワ ー ク B 
ビジ ネス ユニ ッ ト BB 


ユー ザ : 
Josh. Karen 


アセ ッ ト 
グル ー プ : 
AG7. AG8 


アセ ッ ト 
グル ー プ の 
アセ ッ ト : 
11.10.0.1- 
11.10.0.20 


DevOps セキ ュ リ ティ 


Securing AWS with Qualys 
DevOps セキ ュ リ ティ 


DevOps を 統合 し 、 ス キャ ン 自 動 化 の プロ セス を 強固 に で きる さま ざま な 方 法 を 紹介 し ます 。 
スキ ャ ン 自 動 化 を DevOps プロ セス に 統合 し て AMI を 堅 年 化 
Jenkins か ら ホ スト お よび EC2 クラ ウド イン スタ ンス の VM スキ ャ ン を 自動 化 


Golden AMI Pipehne 


スキ ャ ン 自 動 化 を DevOps プロ セス に 統合 し て AMI を 堅 生 化 


AWS で は 、 公 開 さ れ て いる AMI (Amazon Machine Image) を 使 


| し て 独自 の カス タム AMI を 作成 する 


の が ベス ト プ ラ クティ ス で す 。 こ れ に より 、 事 前 設定 され て いる OS と ソフ トウ ェ ア 上 で アプ リケーション 
を 実行 で きる よう カス タマ イズ する こと が で きま す 。 た だ し 、 こ の よう な カス タム AMI は 、 本番 環境 の ワー 
クロ ー ド で 使用 する 前 に 、 包 括 的 な テス ト を 行う 必要 が あり ます 。 ま た 、AMI に 対し て 脆弱 性 スキ ャ ン を 
実行 し て 、 ア プリ ケー ショ ン の 脆弱 性 や ベス ト プ ラ クティ ス か ら の 偏差 を 評価 する 必要 も あり ます 。 Qualys 
で は 、AMI イメ ー ジ を スキ ャ ン す る た め に 、DevOps プロ セス に 統合 する た め の す ぐに 使用 で きる API を 


提供 し て いま す 。 


例え ば 、 下 の 図 に は 、AMI の 作成 と 、AMI を 了 堅 生 に する た め に Qualys API を 使用 する 方 法 に つい て の 一 


般 的 な ステップ が 示さ れ て いま す 。 


AMI の 作成 
コー ド の スキ ャ ン ステ ッ プ 
ei EC2 コネ クタ の 実行 に よる 
ヒル ド 完 了 アセ ッ ト の 同期 と 
に 5 REST API に よる 動 的 タグ 更新 
テス トイ ンス タン ス Qualys と の 統合 
の 作成 
ーーーーe 認証 の 更新 
スキ ャ ン 開 
時 特定 の タグ に 対す る 
スキ ャ ン の 開始 
スキ ャ ン 結 果 の 解析 
と E メー ル の 生成 事前 定義 され た テン プレ ー 
で の レポ ー ト の 開始 
問題 点 の 解決 スキ ャ ン 結 果 の 取得 
AMI の 公開 


メソ ッ ド 
POST 


"a 


GET 


エン ド ポ イント 


/qps/res12.0/run/amawsassetdataconnectorfid} 


/apV2.0/fo/auth/un/action=update&ids=0&ips 人 =&ec 
ho_request=1 


apV2.0/fo/SCan/action=launch&scan_ 押 e=&conn 
ector_name&iscanner_name= 全 Starget_frpm=tags&ta 
g_set_include={id} 


lapi2.0/fo/reportf faction” aunch', report_refs: 


scan/{id}, "output_formaf: xmf, template_id" {id}, 
report_type" "Scan} 


/apV2.0/forepor ‘action=fetch&id=fid} 


改善 と 繰返し 


AWS に 関連 する Qualys API の 使用 の 詳細 に つい て は 、『 ア セッ ト 管 理 お よび タグ 付け API v2 ユー ザ ガ イ 


ド 』 (PDF、 英 語 ) を 参照 し て くだ さい 。 
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Jenkins か ら ホ スト お よび EC2 クラ ウド イン スタ ンス の VM スキ ャ ン 


を 自動 化 


DevOps チー ム は 、" Qualys VM Jenkins プラ グイ ン ” を 使用 し て 、Jenkins か ら ホ スト お よび EC2 クラ ウ 


ドイ ンス タン ス の VM スキ ャ ン を 


動 化 で きま す 。 こ の 方 法 で スキ ャ ン を 統合 する こと で 、 セ キュ リティ 


上 の 欠陥 を 検出 し 除去 する た め の ホ 


スト また は クラ ウド イン スタ ンス の セキ ュ リ ティ テス ト が 実現 し ます 。 


『Jenkins Plugin for VM User Guide』 を 参照 し て くだ さい 。 


Scan Options 


Provide information required to launch the scan 


Name [iob_name]_jenkins_build_[build_number] いい) 
Target 
® HostIP 
IP: 0000 © 


Cloud Instance (AWS EC2) 


Option Profile Default scan option profile r © 
Scanner Name Select the scanner appliance r 3) 
Configure Scan Pass/Fail Criteria 
Set the conditions to fail the build job. The build will fail when ANY of conditions are met. 
Failure Conditions 
By Vulnerability Severity © 
Fail tn Severity 5 v orabove 
By QD @ 
Fail with any of these QIDs: 
By CVE © 
の 
Fail with any of these CVEs: 
By CVSS score @ 
Fail with: CVSSv2 v | BASE score 0.0 or above. 
By PCI Vulnerabilty Detections © 
» 
Fail if any PCI Vulnerabilties are identified 
Apply above fail conditions to potential vulnerabilities as well © 
Exclude Conditions © 
Timeout Settings 
Qualys VM Scan results will be collected per these settings. For each enter a value in minutes or an expression like 2*60 for 2 hours, 
Frequency 
How often to check for data 2 minutes © 
Timeout 
How long to wait for scan results | 60°2 minutes, © 


Add post-build action ~ 


本 ll… 
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Golden AMI Pipeline 


Golden Amazon Machine Image (AMI) を 開発 する 際 、DevOps チー ム は 、 連 続 的 で 自動 化 さ れ た チェ ッ 
ク を 実行 し て 、 存在 する 脆弱 性 と 誤 設 定 を 除去 する 必要 が あり ます 。Qualys は Amazon と 連携 し て 、AWS 
環境 内 に 存在 する 強化 AMI の ポー ト フ ォ リ オ に 対し て 継続 的 な 評価 を 実行 で きる よう 、AWS Golden 
Amazon Machine Image Pipeline の 参照 アー キテ クチ ャ を Qualys スキ ャ ナ に 統合 し まし た 。 こ れ に より 
本 番 環境 に 進む 前 に 、 イ メー ジ 作 成 パ イプ ライ ン に お ける 重大 な 脆弱 性 と コン プラ イア ンス の 問題 を 検出 し 
修正 で きる よう に な り ま す 。 


Golden AMI 作成 


イベ ント ソー ス 
9 共 EE 

回 NX (1) 更新 前 スク リプ ト の パッ チ お よび 更新 後 ス クリ プ ト の dl [ロロ 

ンス トー ンス トー ンス トー ル 

Amazon Invoker イン スト ー ル 更新 の イン スト ー ル イン スト ー』】 | LT 
CloudWatch Lambda TP に 

スケ ジュ ー ル EC2 2 CO a 
イベ ント 


Q [SE 人 
ニーーーー ニ 
3 Oo し た 中 
Aa] タグ を 適用 
シス テム マネ ー ジ ャ 栓 縛 AMI で 
管理 者 自動 化 ド キュ メン ト EC2 i 


rmt Na 1 ト を 


5 も rm ー 働 | 


CUCD AMI 承認 の た め の Qualys VM レポ ー ト に 基づい て 候補 AMI ID を 
パイ ブラ イン SNS 通知 管理 者 が リク エス ト を SSM パラ メー タス ト ア に 
承認 また は 拒否 Golden AMi と し て 保存 


Golden AMI 作成 の 自動 化 ド キュ メン ト 


Qualys と Amazon の Golden AMI と の 統合 の 詳細 に つい て は 、「AWS Golden AMI Pipelines」、「 動 画 シ 
リー ズ 」 を 参照 し て くだ さい 。 


脆弱 性 を 評価 する た め の Golden AMI Pipeline と Qualys スキ ャ ナ の 統合 に 使用 で きる スク リプ ト も 提供 し 
て いま す 。 詳 細 は こち ら を ご 覧 くだ さい 。 
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よく ある 質問 
よく ある 質問 
質問 回 答 
スキ ャ ン 結 果 と EC2 の イン ス EC2 スキ ャ ン 結 果 は 、EC2 イン スタ ンス ID に よっ て イン デック ス が 作成 さ 
タン ス ID に つい て れ ま す 。 こ れ に より 、IP アド レス の 変更 が 発生 し た 場合 で あっ て も 、 ア 


セッ ト の 追跡 を 継続 する こと が で きま す 。 ス キャ ン 中 に IP アド レス の 変更 
が 検出 され 、 ス キャ ン 結 果 が 処理 され る と 、 ス キャ ン 結 果 、 ス キャ ン レ ポー 
ト 、 お よび AssetView の アセ ッ ト イ ン ベ ン トリ に は 新しい IP アド レス が 表 
示さ れ ま す 。 
EC2 スキ ャ ンジ ョ ブ で は 、 終 Qualys VM/VMDR また は Qualys PC か ら 開 始 さ れ て 、 終 了 の ステ ー タ ス 
了 し た EC2 イン スタ ンス を ど と な っ た すべ て の EC2 イン スタ ンス は 、EC2 スキ ャ ン か ら 自 動 的 に 除外 さ 
の よう に 扱い ます か れ ま す 。 そ の た め 、 終 了 し た EC2 イン スタ ンス の スキ ャ ン は 行わ れ ま せん 。 
オン デマ ンド で EC2 スキ ャ ン を 開始 し た 後に 表示 され る 「Launch BC2 
Scan Previewy」 に は 、 終 了 し た イン スタ ンス が 表示 され ます 。 そ の 理由 は 、 
イン スタ ンス の 除外 は 、 ス キャ ンジ ョ ブ が Scanner Appliance に 送信 され た 


後 で 行わ れる た めで す 。 
EC2 スキ ャ ン に 必要 な ユー ザ マネ ー ジ ャ と ユニ ッ ト マ ネー ジャ は 、 各 自 の Qualys ライ セン ス に 従っ て 、 
パー ミッ ショ ン は 何で すか Qualys VM/VMDR お よび Qualys PC を 使用 し た EC2 スキ ャ ン の 開始 、 ス 


ケ ジ ュ ー ル 、 管 理 を 行う こと が で きま す 。 


Qualys VM/VMDR 

- EC2 アセ ッ ト 上 で の 脆弱 性 スキ ャ ン の 実行 

- Virtual Scanner Appliance (AMI インスタンス) の 設定 
- Qualys AssetView (AV) を 使用 し た EC2 コネ クタ の 作成 管理 


由 


Qualys PC 
- EC2 アセ ッ ト 上 で の コン プラ イア ンス スキ ャ ン の 実行 

- Virtual Scanner Appliance (AMI イン スタ ンス ) の 設定 
- Qualys AssetView (AV) を 使用 し た EC2 コネ クタ の 作成 / 管理 
ユニ ッ ト マ ネー ジャ の 要件 : マネ ー ジ ャ は 、 ア セッ トグル ー プ か ら ユ ニッ ト 
マネ ー ジ ャ の ビジ ネス ユニ ッ ト に BC2 環境 の IP を 追加 する 必要 が あり ま 

す 。 マ ネー ジャ は 、 ユ ニッ トマ ネー ジャ に よっ て 設定 され た アプ ライ アン ス 
を 、 ユ ニッ トマ ネー ジャ の ビジ ネス ユニ ッ ト に ある アセ モッ トグル ー プ に 追加 


する 必要 が あり ます 。 

Virtual Scanner Appliance で プ Amazon EC2 (また は 他 の クラ ウド プラ ッ ト フ ォ ー ム ) に 配置 され た 

ラッ ト フ ォ ー ム プロ バイ ダ 情 報 Virtual Scanner Appliance の プラ ッ ト フ ォ ー ム プロ バイ ダ i は 、Qualys 

を 表示 する 方 法 アカ ウン ト 内 に 表示 され ます 。 こ の 情報 は 、「Scans」 つ 「Appliances」 で ア 
プラ イア ンス の 表示 また は 編集 時 に 、 「General Information」 セクション に 
表示 され ます 。 
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Securing AWS with Qualys 
よく ある 質問 


回 答 


接続 に 関す る トラ ブル シュ ー 
ティ ング 


Qualys Scanner Appliance は 、HTTPS を 使用 し て Qualys クラ ウド プラ ッ 
ト フ ォ ー ム に 常時 接続 され て いる 必要 が あり ます 。 ア プラ イア ンス を 適切 に 
動作 させ る に は 、 接 続 に 関す る 問題 を 解決 し て くだ さい 、。 


スキ ャ ナ と Qualys クラ ウド プラ ッ ト フ ォ ー ム の 間 に ネ ットワーク の 断絶 が 
ある と 、 通 信和 失敗 の メッ セー ジ が 表示 され ます 。 通 信 の 障害 が 発生 する 理由 
と し て は 、 ロ ー カ ルネ ットワーク の 停止 、 何 ら か の 理由 に よる イン ター ネッ 
ト 接続 の 切断 、 ま た は スキ ャ ナ と Qualys クラ ウド プラ ッ ト フ ォ ー ム と の 間 
に ある いずれ か の ネッ トワ ー ク デバ イス の 停止 な ど が 考え られ ます 。 


ネッ トワ ー ク エラ ー の メッ セー ジ は 、Scanner Appliance が Qualys クラ ウ 
ド プ ラッ ト フ ォ ー ム へ の 接続 を 試み て 失敗 し た こと を 示し ます 。 トラブル 

シュ ー テ ィング を 容易 に する た め に 、 エ ラー コー ド と 説明 が 表示 され ます 。 
エラ ー は 、 プ ロキ シ サ ー バ と Qualys クラ ウド プラ ッ ト フ ォ ー ム と の 接続 エ 
ラー が 関係 し て いる こと が あり ます 。 


Qualys クラ ウド プラ ッ ト フ ォ ー ム は 接続 性 チェ ッ ク の 結果 と Amazon BC2 
System Console の 全般 的 な 個人 向け プロ セス を 記録 し て いま す 。 


「No connectivity to qualysguard.qualys.com - please fix.」 と いう メッ セー ジ 
が 表示 され た 場合 、VPN ネッ トワ ー ク ACL と セキ ュ リ ティ グル ー プ で 発信 
HTTPS (TCP ポー ト 443) アク セス が 許可 され て いる こと を 確認 し て くだ 
さい 。 プ ロキ シ サ ー バ を 使用 し て いる 場合 は 、 ス キャ ナ が プロ キシ サー バ に 
アク セス 可能 で 、 プ ロキ シ サ ー バ が Qualys クラ ウド プラ ッ ト フ ォ ー ム に ア 
クセ ス 可 能 で ある こと を 確認 し ます 。 
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